L’injection de commande (ou Shell Code Injection) est une attaque qui consiste à exécuter des commandes sur le système d’exploitation d’une victime via une application vulnérable.
Essai Gratuit 14 Jours
Sans Engagement
Cette attaque est possible seulement lorsqu’une application transmet des données, saisies par un utilisateur, à un shell système (console). Les commandes sont exécutées avec les privilèges de l’application attaquée.
L’injection de code (ou Code injection) est une attaque similaire à l’injection de commande. La différence se fait au niveau du code injecté. La Shell Code Injection consiste à exécuter des commandes alors qu’ici se sera plutôt du code qui sera injecté. La différence entre les deux attaques est la limite imposée par les fonctionnalités du langage utilisé. Si l’injection se fait en PHP, l’attaquant sera limité à ce que PHP est capable de faire.
Pour se protéger contre les injections de commande et de code il faut, encore une fois, vérifier toutes les saisies d’un l’utilisateur afin qu’il ne puisse pas saisir de commande ou de code.
Détectez les failles de sécurité de votre site ou application web grâce au Scanner de Vulnérabilité HTTPCS Security. Cet outil en ligne permet de détecter les failles du top 10 OWASP mais également les CVE et autres failles implémentées dans le robot pour assurer une protection optimale de votre site au quotidien. Programmez facilement des audits automatisés, découvrez vos failles ainsi que les correctifs à appliquer pour éviter d’être piraté.
Essai Gratuit 14 Jours
Sans Engagement