|
Título: Ataque por inyección remota de comandos OS OWASP ¿falsa alerta? Publicado por: Hack el destripador en 1 Agosto 2020, 04:05 am Hola a todos, tengo una pregunta.
estoy realizando una auditoria con OWASP el cual me detecta como amenaza un ataque por inyección remota de comandos OS, dándome una URL como la siguiente en la petición GET https://misitio.com/crear.php?id=167%27%3Bstart-sleep+-s+15&nombre=11 Entiendo que se está forzando al servidor a realizar un sleep de 15 segundos, pero el problema es que, si esto estuviera ocurriendo en realidad, la página tardaría en cargar esos 15 segundos, pero no es así, incluso si remplazo el 15 por 60 o 120 aun así carga de inmediato Como información adicional, en informe del error en el apartado evidencia, no aparece nada. ¿Alguien sabe por qué ocurre esto? ¿Alguien tiene alguna idea? será posible que sea una alerta en falso del OWASP? |