Shell Code Injection


L’injection de commande (ou Shell Code Injection) est une attaque qui consiste à exécuter des commandes sur le système d’exploitation d’une victime via une application vulnérable. Cette attaque est possible seulement lorsqu’une application transmet des données, saisies par un utilisateur, à un shell système (console). Les commandes sont exécutées avec les privilèges de l’application attaquée.


Php Code Injection


L’injection de code (ou Code injection) est une attaque similaire à l’injection de commande. La différence se fait au niveau du code injecté. La Shell Code Injection consiste à exécuter des commandes alors qu’ici se sera plutôt du code qui sera injecté. La différence entre les deux attaques est la limite imposée par les fonctionnalités du langage utilisé. Si l’injection se fait en PHP, l’attaquant sera limité à ce que PHP est capable de faire.


Comment se protéger contre les failles Shell Code Injection et Php Code Injection ?


Pour se protéger contre les injections de commande et de code il faut, encore une fois, vérifier toutes les saisies d’un l’utilisateur afin qu’il ne puisse pas saisir de commande ou de code.