Anmelden Registrieren
EN

Auf Command Injection Sicherheitslücken testen

Scannen Sie Ihre Webanwendung auf Command-Injection-Angriffsvektoren. Mit dem Schwachstellen-Scanner von Crashtest Security können Sie auch andere gelistete OWASP-Schwachstellen erkennen.

Auf Command Injection testen
14-tägige kostenlose Testversion. Keine Kreditkarte erforderlich.
  • Verbessern Sie Ihre Sicherheitslage mit automatisierten Schwachstellentests
  • Erhalten Sie ausführliche Berichte und Empfehlungen zur Behebung
  • Testen Sie auf mehrere Command Injection Methoden – unsichere Deserialisierung, XXE, Datei-Einbindung und mehr
Hirmer
Alltron
Flixbus
Instana
Ottonova
Atoss
Acrolinx
Netfonds

Funktionen

Merkmale des Command Injection Scanners

Der Scanner deckt Command Injection Schwachstellen auf, indem er einen automatisierten Blackbox-Pentest durchführt, wie ihn ein menschlicher Pentester durchführen würde. So liefert er schneller und kostengünstiger Ergebnisse.

Jetzt kostenlos testen

Zeitlich Planen

Einen geplanten Scan erstellen

1

Konfiguration

Konfigurieren Sie Anmeldeinformationen (System und Anwendung)

2

CI-Integration

Erstellen eines Webhooks und Starten eines Scans über die CI-Integration

3

Benachrichtigungen erstellen

Chat-Benachrichtigung einbinden (z. B. Slack)

4

Berichte herunterladen

Erhalten Sie ausführliche Berichte mit Empfehlungen zur Problembehebung

5

Vorteile

Vorteile des Command Injection Schwachstellentests

14-tägige gratis Testversion starten
Keine Kreditkarte erforderlich. Jederzeit kündbar.
  • Verringern Sie das Risiko, gehackt zu werden, und schützen Sie Ihre Webressourcen vor Command Injection und vielen anderen Schwachstellen.
  • Führen Sie automatisierte Pentests für Webanwendungen (Multi-Page & Single-Page), Microservices und APIs durch.
  • Laden Sie detaillierte Berichte herunter (PDF, JSON/XML und CSV) und geben Sie sie weiter.
  • Direkte Integration in Ihr bestehendes Dev-Build mit mehr als 20 Integrationen.

Berichte

Zahlreiche Berichte über Command Injection Schwachstellen

Der Command Injection Scanner-Bericht zeigt Ihnen, ob Sie für die Ausführung beliebiger Systembefehle anfällig sind, den Schweregrad und das genaue Ergebnis.

Bericht holen

Scanner-Übersicht

Detaillierte Übersicht über die ausgeführten Scanner, die Kategorisierung der Schwachstellen, den Ort, an dem sie aufgetreten sind, und vieles mehr.

Tipps zur Behebung

Sie erhalten direkt im Bericht Hinweise zur Behebung.

Checkliste der gefundenen Schwachstellen

Für eine einfache Verwaltung der Korrekturen und zur besseren Priorisierung.

So funktioniert der Command Injection Scanner

Der Command Injection Scanner injiziert Betriebssystembefehle in die Parameter und Cookies und bringt die Webanwendung dazu, diese Betriebssystembefehle auszuführen. Genau wie ein Hacker es tun würde.

Alle entdeckten Schwachstellen werden dann aufgelistet und im Ergebnisbericht nach Prioritäten geordnet.

Note: Sie müssen über die Berechtigung verfügen, den Command Injection Scanner einzustellen. Das Command Injection-Tool kann verschiedene HTTP-Anfragen generieren, die als Angriffe betrachtet werden können (auch wenn sie völlig harmlos sind), daher sollten Sie bedenken, dass Sie die Berechtigung benötigen, um diesen Scanner auszuführen.

Was ist eine Command Injection?

Ein Angriffsvektor, der als Command Injection bekannt ist, ermöglicht es Angreifern, beliebige Systembefehle auszuführen. Auf diese Weise können Hacker den ursprünglichen Befehl außer Kraft setzen, an sensible Daten gelangen und sogar den Anwendungsserver oder das System vollständig übernehmen.

Bei Command-Injection-Angriffen wird in der Regel schädlicher Code in die Laufzeitumgebung des Anwendungsservers eingefügt, Befehle ausgeführt oder Konfigurationsdateien manipuliert.

Was ist der Unterschied zwischen Command und Code Injektionen?

Code und Command Injection sind zwei verschiedene Arten von Sicherheitslücken. Bei beiden wird jedoch bösartiger Code in eine Anwendung injiziert.

Bei einem Code-Injection-Angriff wird bösartiger Code in eine anfällige Webanwendung eingefügt, die dann ausgeführt wird. Der Angriff basiert auf einer unzureichenden Eingabevalidierung der bösartigen Version der Benutzerdaten. Folglich zielt der Code-Injection-Angriff nur auf die Funktionalitäten der Anwendungen ab, die angegriffen werden.

Eine Command Injection liegt vor, wenn ein Angreifer die Standardfunktionen einer Webanwendung so verändert, dass sie Systembefehle ausführen, anstatt die beabsichtigte Funktion zu erfüllen. Es wird also kein neuer Code eingefügt. Bei einem Command-Injection-Angriff kann ein Angreifer jedoch die Privilegien der kompromittierten Anwendung nutzen, um den Server oder die Systeme, die zur Anwendung gehören, sowie andere vertrauenswürdige Infrastrukturen anzugreifen.

Command Injection Methoden

Angriffe durch Command Injections sind möglich, wenn verschiedene Schwachstellen in Ihrer Webanwendung vorhanden sind:

  • Beliebige Command Injections
  • Unsichere Deserialisierung
  • Einschleusung externer XML-Entitäten (XXE)
  • Beliebige Dateieinbindung/beliebige Hochladen
  • Server-seitige Vorlageninjektion (SSTI)
FAQ

Command injection scanner

Was ist Command Injection?

Command Injection ist eine Sicherheitslücke, die entsteht, wenn die Webanwendung Daten aus einer nicht vertrauenswürdigen Quelle ohne ordnungsgemäße Validierung ausführt. Mit dieser Sicherheitslücke kann ein Angreifer jeden verfügbaren Systembefehl ausführen. Dies kann zu einem vollständig kompromittierten System führen.

Wodurch werden Schwachstellen bei der Command Injections verursacht?

Wenn eine Anwendung Benutzereingaben erhält, sollte sie immer prüfen, ob sie Daten oder Code erwartet. Andernfalls könnte sie für Angriffe wie die Befehlsinjektion anfällig sein.

Welche Abhilfemaßnahmen werden für Command Injection empfohlen?

DAST-Tools (Dynamic Application Security Testing) wie Crashtest Security helfen Ihnen, Schwachstellen bei der Command Injection (neben anderen) zu erkennen, bevor Angreifer sie entdecken.