Здравствуйте, дорогие друзья.
Введение
Command Injection была очень популярна в свое время, но Вы не найдете ее в современном приложении. Тем не менее, время от времени я нахожу действительно плохие приложения, которые уязвимы для этой уязвимости. Злоумышленники могут использовать эту уязвимость для получения удаленного выполнения кода (RCE) на своей цели.
Command Injection
Иногда приложения принимают пользовательский ввод и передают его в качестве аргумента в командной строке. Передача пользовательского ввода в командную строку всегда плохая идея, и ее следует избегать. В зависимости от операционной системы, Вы можете использовать несколько методов для выполнения дополнительных команд, что позволяет злоумышленнику, чтобы получить RCE.
Более подробнее на сайте: https://timcore.ru/2022/07/10/43-bug-bounty-command-injection/
#багбаунти, #багхантинг, #багхантер.