Outils d'utilisateurs

Outils du Site


failles_web:os_injection

Un OS Injection est lorsqu’une personne exécute des commandes système en les injectant dans vos scripts PHP. Voici un exemple de fonction qui me permet d’afficher le résultat de la commande nslookup d’un site envoyé en POST :

//$_POST['host'] = 'google.com';
system('nslookup ' . $_POST['host']);

Exploitation de la faille : On modifie les données envoyées en POST par quelque chose comme :

$_POST['host'] = 'google.com; cat /etc/passwd'; 
failles_web/os_injection.txt · Dernière modification: 2020/02/08 18:16 par M0N5T3R