命令执行测试-业务安全测试实操(12)

这篇具有很好参考价值的文章主要介绍了命令执行测试-业务安全测试实操(12)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

命令执行测试

测试原理和方法

在应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的承数。如PHP中的svstem、exec、shell exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。测试中如果没有对参数(如cmd=、command、excute=等) 进行过滤,就可以直接造成命令执行漏洞或配合绕过及命令连接符(在操作系统中,“&、、1、:”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令) 等进行命令执行漏洞测试。'
 

测试过程


攻击者发现疑似存在命令执行的漏洞链接,添加命令执行payload,确认漏洞,如图 所示。

命令执行测试-业务安全测试实操(12) 

以某网络安全审计系统为例,由于未对register key参数进行过滤可能存在命令执行漏洞,抓包并对其进行测试,构造命令执行语句并执行成功,证明此参数未经严格过滤造成命令执行漏洞,如图 所示。

命令执行测试-业务安全测试实操(12)

 命令执行测试-业务安全测试实操(12)文章来源地址https://www.toymoban.com/news/detail-499470.html

到了这里,关于命令执行测试-业务安全测试实操(12)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【Android12】Monkey压力测试源码执行流程分析

    Monkey是Android提供的用于应用程序自动化测试、压力测试的测试工具。 其源码路径(Android12)位于 部署形式为Java Binary 通过Monkey,可以模拟用户的Touch(单指、多指、手势)、按键(key)事件等,检测应用程序发生的ANR、Crash事件,并收集相关Debug信息等。 例如测试应用com.packa

    2024年03月22日
    浏览(41)
  • 渗透测试漏洞原理之---【业务安全】

    1.1业务安全现状 1.1.1、业务逻辑漏洞 近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和⽹络已经成为与所有⼈都息息相关的⼯具和媒介,个⼈的⼯作、⽣活和娱乐,企业的管理,乃⾄国家的发展和改⾰都⽆处其外。信息和互联⽹带来的不仅仅是便利

    2024年02月09日
    浏览(40)
  • Web 攻防之业务安全:输入 / 输出模块测试.

    业务安全是指保护业务系统免受安全威胁的措施或手段。 广义 的业务安全应包括业务运行的 软硬件平台 (操作系统、数据库,中间件等)、 业务系统自身 (软件或设备)、 业务所提供的服务安全 ; 狭义 的业务安全指 业务系统自有的软件与服务的安全 。 输入 / 输出模块

    2023年04月24日
    浏览(39)
  • Web 攻防之业务安全:验证码绕过测试.

    业务安全是指保护业务系统免受安全威胁的措施或手段。 广义 的业务安全应包括业务运行的 软硬件平台 (操作系统、数据库,中间件等)、 业务系统自身 (软件或设备)、 业务所提供的服务安全 ; 狭义 的业务安全指 业务系统自有的软件与服务的安全 。 验证码绕过测试

    2023年04月10日
    浏览(40)
  • 银行测试:第三方支付平台业务流,功能/性能/安全测试方法

    在信用方面,第三方支付平台作为中介,在网上交易的商家和消费者之间作一个信用的中转,通过改造支付流程来约束双方的行为,从而在一定程度上缓解彼此对双方信用的猜疑,增加对网上购物的可信度。 在技术层面,第三方支付平台承担安全保障和技术支持的作用,提供

    2024年02月04日
    浏览(45)
  • Web 攻防之业务安全:验证码自动识别 测试.

    验证码安全 也可以叫《 全自动区分计算机和人类的图灵测试 》,是一种 区分用户是计算机还是人的共全自动程序。 可以防止:恶意破解密码、刷票、论坛灌水。可以有效防止黑客对某一个特定用户用特定程序暴力破解方式进行不断的登陆尝试。由于计算机无法解答CAPTCHA的

    2023年04月11日
    浏览(51)
  • 网安云新品速递 | 渗透测试服务,助力企业业务安全发展

    随着网络攻击效率、攻击手段复杂性的提高,企业在防范网络安全威胁时越发力不从心。根据Splunk公司发布的《2023年安全现状报告》显示: 62%的企业几乎每个月都会因网络安全攻击导致关键业务系统停止运转 ,该比例远高于2022年。 企业信息资产(包括业务、系统、环境、

    2024年02月16日
    浏览(64)
  • 银行测试:第三方支付平台业务流,功能/性能/安全测试方法(超详细整理)

    在信用方面,第三方支付平台作为中介,在网上交易的商家和消费者之间作一个信用的中转,通过改造支付流程来约束双方的行为,从而在一定程度上缓解彼此对双方信用的猜疑,增加对网上购物的可信度。 在技术层面,第三方支付平台承担安全保障和技术支持的作用,提供

    2024年02月03日
    浏览(49)
  • adb 命令行执行单元测试

    可参考教程:Mac配置ADB环境变量 adb在我们配置 Android Studio 时 安装的 AndroidSDK 的 platformTools 目录中,所以我们首先要找到 adb 所在目录,就在sdk目录下面。在Project Structure中,找到SDK安装路径. ADB的目录就在 上面目录的 platform-tools中 直接终端编辑 bash_profile 文件,配置环境变量

    2024年02月14日
    浏览(47)
  • 【网络安全】命令执行漏洞

    应用程序中有时候需要调用一些执行系统命令的函数,在php中常见的为 system 、 exec 、 shell_exec 、 passthru 、 proc_poen 、 popen 等函数用来执行系统命令。当黑客能控制这些函数的参数时,就可以讲恶意的系统命令拼接到正常的命令中,就会命令执行攻击,这就是命令执行漏洞。

    2024年02月03日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包