Kiến thức cần có
1. Chủng lỗi Injection và OS Command
Command Injection thuộc chủng lỗi Injection (nằm trong top 3 của Top 10 OWASP)
Website để tìm hiểu thêm về OS Command:
https://explainshell.com/
OS Command là những mệnh lệnh instruction tương tác trực tiếp với hệ điều hành để nói cho nó biết rằng cần phải làm những tác vụ gì
Ngoài OS Command Injection, còn hàng chục lỗi Injection khác bao gồm:SQL Injection, HTML Injcection, LDAP Injection, Xpath Injection,Code Injection, …
2. Cấu trúc Application
Application được cấu tạo từnhiều lớp khác nhau
Trong đó, OS Command ra lệnh trực tiếp cho hệ điều hành
3. OS Command thường xuất hiện ở đâu?
Với một số feature đặc biệt, Developers bắt buộc phải để hệ điều hành xử lý giùm, đó là lý do xuất hiện nhiều trường hợp xảy ra OS Command Injection.
Các ví dụ Command Injection xuất hiện trên các sản phẩm nổi tiếng: Salt Stack, TPLink, Western Digital MyCloud, DirectTV AT&T, Cisco RV340 VPN Router
4. Các bước để tư duy cho OS Command Injection
Bản chất của injection là gì?
⇒ Là hệ thống nhầm lẫn user input là instruction
Bản chất của injection là gì?
⇒ Là hệ thống nhầm lẫn user input là instruction
