Un OS Injection est lorsqu’une personne exécute des commandes système en les injectant dans vos scripts PHP. Voici un exemple de fonction qui me permet d’afficher le résultat de la commande nslookup d’un site envoyé en POST :

//$_POST['host'] = 'google.com';
system('nslookup ' . $_POST['host']);

Exploitation de la faille : On modifie les données envoyées en POST par quelque chose comme :

$_POST['host'] = 'google.com; cat /etc/passwd';