有人可以向我解释操作系统注入和操作系统命令注入之间的区别吗?
我的理解是这两种技术都利用了糟糕的输入验证。
我的疑问是:OS注入是否代表操作系统注入?
假设某个网站容易受到用户提供的输入的影响。
经过一些测试后,我能够获得有关的信息:
基础操作系统
安装的服务器类型
假设我们有Linux和Apache服务器。
通过拦截软件,我可以通过GET请求与易受攻击的站点进行交互(我的意思是我可以在发送之前修改GET参数)然后我成功注入“; ls”
是的,该网站容易受到攻击,因为我可以看到有文件。
所以我所做的就是利用一些bug来访问底层操作系统。
这是Os的一个例子吗?或者我最好称之为操作系统命令注入?
Os的例子是什么?
对不起我的琐碎问题。
由于
答案 0 :(得分:0)
他们可能意味着同样的事情。您在哪里遇到这些条款?