16、网络安全中的注入攻击与拒绝服务攻击解析

网络安全中的注入攻击与拒绝服务攻击解析

1. 命令注入攻击

当命令行界面（CLI）在主机操作系统上运行，而非在其自身的隔离环境中运行时，就可能出现命令注入攻击，而非代码注入攻击。

例如，在Unix操作系统的终端中，使用Bash执行视频转换命令：

$ convert -d vidData.mp4 -n myVid.mp4 -o '-s 1280x720'

如果在将命令发送到主机操作系统执行之前，引号被绕过，就会出现危险的注入情况。如以下代码：

const options = "' && rm -rf /videos";

这会导致最终执行的命令变为：

$ convert -d vidData.mp4 -n myVid.mp4 -o '-s 1280x720' && rm -rf /videos

代码注入通常局限于解释器或CLI，而命令注入则会暴露整个操作系统。在脚本和系统级命令交互时，必须注意对字符串进行清理，以防止命令注入和代码注入。

命令注入是指API端点根据客户端请求生成Bash命令，恶意用户可以添加自定义命令来修改API端点的正常操作。

对Unix系统（如Macintosh或Linux）执行命令注入攻击风险极高。若攻击者能以超级用户身份直接访问主机Unix系统（超过95%