OS Command Injection이란? 공격자가 서버에 임의의 운영 체제(OS) 명령을 실행하여 서버에 대한 정보를 획득하거나 데이터를 변조 및 삭제할 수 있는 웹 취약점이다. 페이지에 접근하면 위 사진과 같이 DNS lookup: 을 할 수 있는 페이지가 표시된고 인풋 박스에 URL을 넣으면 nslookup 명령어를 사용한 정보가 출력된다. nslookup www.nsa.go.kr 여기서 nslookup은 도메인 네임 서비스 (ex.www.google.com)의 호스트 IP주소를 찾아내는 명령어입니다. 소스코드를 열어보았을 때 target을 포스트로 받아서 "nslookup target"을 실행한 값을 출력하는 코드로 확인된다. (여기서 commandi()는 security_level에 따라 필터함..