![[시큐어코딩 가이드] 2-1-5. 운영체제 명령어 삽입](http://i1.daumcdn.net/thumb/C120x120/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbAsTUA%2FbtszGVxULOS%2FCBOTC2XEKjtWKO3uwMOdV1%2Fimg.jpg)
[시큐어코딩 가이드] 2-1-5. 운영체제 명령어 삽입
운영체제 명령어 삽입 정의 정의 적절한 검증 절차를 거치지 않은 사용자 입력값이 운영체제 명령어의 일부 또는 전부로 구성되어 실행되는 경우, 의도하지 않은 시스템 명령어가 실행돼 부적절하게 권한이 변경되거나 시스템 동작 및 운영에 악영향을 미칠 수 있다. eval() 함수와 exec() 함수는 내부에서 문자열을 실행하기에 편리하지만, 같이 사용하면 여러 변수들에 동적으로 값을 할당해 사용할 수 있어 명령어 삽입(Command Injection) 공격에 취약하다 안전한 코딩기법 입력값 내에 시스템 명령어를 포함하는 경우 |, ;, &, :, >,
- Secure Coding/시큐어코딩 가이드
- · 2023. 11. 3.