¡Esta es una revisión vieja del documento!
¿Qué es Inyección de Comando?
La Inyección de comandos ocurre cuando un atacante puede ejecutar comandos del sistema operativo o scripts en el servidor desde la aplicación web. Esta potencial de vulnerabilidad se produce cuando una aplicación web le permite hacer comúnmente un nslookup, whois, ping, traceroute y más desde su página web. Se puede probar la vulnerabilidad utilizando una técnica llamada fuzzing, donde un “;” o “|” o “||” o “&” o “&&” se agrega al final de la entrada esperada (p. ej., www.google.com) seguido de un comando (p. ej., cat / etc / passwd). ¿Qué es Fuzzing?
La prueba de fuzz o fuzzing es una técnica de prueba de software que implica proporcionar datos no válidos, inesperados o aleatorios a las entradas de un programa de ordenador. Luego, se monitorea el programa en busca de excepciones tales como bloqueos o fallos en las aserciones de código incorporadas o para encontrar posibles pérdidas de memoria. Fuzzing se usa comúnmente para probar problemas de seguridad en software o sistemas informáticos.
practica requisito
Instalar Mutillidae en Fedora 14 Instalación de BackTrack 5 R1
Notas de la practica
En esta practica haremos lo siguiente: