OS Command Injection

• Categoría:

• InputValidation

• Referencia:

• OWASP-IV003

Descripcion:

Esta prueba busca identificar vulnerabilidades que permiten a un atacante ejecutar comandos del sistema operativo a través de entradas maliciosas en la aplicación. Simulará entradas maliciosas para detectar posibles vulnerabilidades

Herramientas recomendadas:

• LDAPAdmin

Recomendaciones para realizar la prueba:

Los atacantes intentan insertar comandos del sistema operativo en campos de entrada o parámetros de la aplicación. Por ejemplo, en un campo que espera un nombre de archivo, podrían agregar ; rm -rf / o && whoami para ejecutar comandos maliciosos. Esto puede resultar en la extracción de datos, comprometer el servidor o incluso tomar control total del sistema. Se recomienda configura OWASP ZAP para interceptar el tráfico de la aplicación, realizar un escaneo automatizado centrado en identificar puntos donde las entradas puedan afectar comandos del sistema operativo y corregir cualquier vulnerabilidad detectada para prevenir ejecuciones maliciosas.

Evitar el uso de entradas del usuario para construir comandos del sistema operativo y utilizar funciones seguras que no dependan de la concatenación de cadenas (como bibliotecas que manejan comandos de forma parametrizada). Validar estrictamente las entradas y limitar los permisos del sistema reducirá el impacto en caso de un ataque.