Shell Command Scanner

Les vulnérabilités d'injection de commandes se produisent lorsque les applications web exécutent des commandes du système d'exploitation en utilisant des entrées utilisateur non sanitisées. Parmi les failles de sécurité web les plus courantes et dangereuses, l'injection de commandes permet aux attaquants d'exécuter des commandes arbitraires sur le serveur hôte, pouvant potentiellement mener à la compromission complète du système. Ce tutoriel d'injection de commandes explore comment ces vulnérabilités apparaissent dans les outils d'entreprise et comment elles sont exploitées dans les attaques réelles.

Comment fonctionnent les attaques par injection de commandes

Les applications web fournissent parfois des interfaces pour les tâches d'administration système - diagnostics réseau, gestion de fichiers ou surveillance de services. Lorsque ces fonctionnalités transmettent des données fournies par l'utilisateur aux commandes shell via des fonctions comme os.system(), subprocess.call(shell=True) ou la fonction PHP exec(), elles créent des opportunités d'injection de commandes. Les attaquants exploitent cela en insérant des métacaractères shell dans les champs de saisie. Des caractères comme les points-virgules (;), les pipes (|), les opérateurs logiques (&&, ||), la substitution de commandes ($() ou backticks) et les retours à la ligne peuvent tous sortir du contexte de commande prévu.

Contourner les filtres d'entrée

De nombreuses applications tentent de prévenir l'injection de commandes par le filtrage des entrées, mais ces défenses sont souvent insuffisantes. Les filtres basés sur des listes noires qui bloquent des caractères spécifiques peuvent être contournés en utilisant des métacaractères alternatifs, des astuces d'encodage ou une syntaxe spécifique au système d'exploitation. Par exemple, si les points-virgules sont bloqués, un attaquant pourrait utiliser des retours à la ligne, des esperluettes ou des caractères pipe à la place. L'encodage URL, l'expansion de variables et l'abus de caractères génériques fournissent des techniques de contournement supplémentaires. Ce tutoriel d'injection de commandes souligne que seule une validation stricte par liste blanche et l'exécution paramétrée de commandes offrent une protection fiable.

Impact et prévention

Une injection de commandes réussie donne aux attaquants la capacité de lire des fichiers sensibles, de modifier les configurations système, d'installer des portes dérobées, de pivoter vers des réseaux internes et d'exfiltrer des données. La vulnérabilité a été trouvée dans des routeurs, des pare-feux, des appliances réseau, des systèmes CI/CD et des plateformes de gestion d'entreprise. La prévention nécessite d'éviter entièrement l'exécution de commandes shell avec des entrées utilisateur, d'utiliser des API spécifiques au langage au lieu de commandes shell, d'implémenter une validation stricte des entrées par liste blanche et d'exécuter les processus d'application avec des privilèges minimaux du système d'exploitation.