Outils d'utilisateurs
failles_web:os_injection
Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
|
failles_web:os_injection [2020/02/08 18:14] M0N5T3R créée |
failles_web:os_injection [2020/02/08 18:16] (Version actuelle) M0N5T3R |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| Un OS Injection est lorsqu’une personne exécute des commandes système en les injectant dans vos scripts PHP. Voici un exemple de fonction qui me permet d’afficher le résultat de la commande nslookup d’un site envoyé en POST : | Un OS Injection est lorsqu’une personne exécute des commandes système en les injectant dans vos scripts PHP. Voici un exemple de fonction qui me permet d’afficher le résultat de la commande nslookup d’un site envoyé en POST : | ||
| - | <CODE> | + | <code> |
| - | // $_POST['host'] = 'google.com'; | + | //$_POST['host'] = 'google.com'; |
| system('nslookup ' . $_POST['host']); | system('nslookup ' . $_POST['host']); | ||
| - | </CODE> | + | </code> |
| - | Si on modifie les données envoyées en POST par quelque chose comme : | + | Exploitation de la faille : On modifie les données envoyées en POST par quelque chose comme : |
| - | $_POST['host'] = 'google.com; cat /etc/passwd'; | + | <code>$_POST['host'] = 'google.com; cat /etc/passwd'; </code>; |
failles_web/os_injection.1581182051.txt.gz · Dernière modification: 2020/02/08 18:14 par M0N5T3R
Outils de la Page
Sauf mention contraire, le contenu de ce wiki est placé sous la licence suivante : CC Attribution-Share Alike 3.0 Unported
