网络安全系列之十一 系统命令注入攻击-阿里云开发者社区

开发者社区> 科技小能手> 正文

网络安全系列之十一 系统命令注入攻击

简介:
+关注继续查看

系统命令注入攻击也是一种古老的攻击手段,是指黑客可以在有漏洞的页面地址栏中直接执行操作系统命令。下面将来演示这种攻击的实现方式,以及如何配置WAF进行拦截,实验环境仍然使用NPMserv搭建。

打开网站,在地址栏中的网址后面输入“?cmd=所要执行的命令”,如下图所示的http://192.168.1.3/?cmd=net user,可以发现命令能够成功执行。

image

如果发现一个网站存在这种漏洞,那下面的操作基本就没有什么技术含量了。无非是创建用户,加入管理员组,再开3389等等,具体操作可参考之前的“网站提权”博文。

下面配置WAF来进行防御。

仍是对P-deny策略进行配置,在“基本攻击防护”中创建一条名为“nocmd”的规则,在检测域中设置“参数”,在匹配方式中设置“正则匹配”,在数值中设置正则表达式。

这里根据系统命令注入攻击的特点,我设置如下的正则表达式:

.*?cmd.*

具体如下图所示:

image

再次进行命令注入,便会报错。

 

image


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1566985


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
计算机基础2 | 学习笔记
快速学习计算机基础2。
10 0
计算机基础3 | 学习笔记
快速学习计算机基础3。
9 0
ECS体验
有买一台服务器的想法,但是只是做小测试和共享用,并不要求太长时间和太高配置,于是,价钱便是一个问题,作为一个在校学生,钱,是第一难题。
10 0
【在家实践】 ECS 初体验
第一次体验云服务器,感觉十分奇妙。
16 0
对ECS服务器的初认知
经过对ECS服务器的基本认识,掌握基础的操作方法,并对下一步的学习方向有了系统的规划。
17 0
Linux 基本操作 | 学习笔记
快速学习 Linux 基本操作。
8 0
【技术干货】40页PPT分享万亿级交易量下的支付平台设计(1)
【技术干货】40页PPT分享万亿级交易量下的支付平台设计(1)
10 0
【技术干货】40页PPT分享万亿级交易量下的支付平台设计(4)
【技术干货】40页PPT分享万亿级交易量下的支付平台设计(4)
5 0
Java classloader详解
Java程序并不是一个可执行文件,而是由很多的Java类组成,其运行是由JVM来控制的。而JVM从内存中查找到类,而真正将类加载进内存的就是ClassLoader,可以说我们每天都在接触ClassLoader,但是很多时候我们没有明白其执行的流程和原理。
5 0
23706
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载