命令执行漏洞

当应用需要调用一些外部程序去处理内容时，就会用到一些执行系统命令的函数。如PHP中的system，exec，shell_exec等，当用户可以控制命令执行函数中的参数时，可注入恶意系统命令到正常命令中，造成命令执行攻击。

命令执行漏洞原理

在操作系统中，“&、|、||”都可以作为命令连接符使用，用户通过浏览器提交执行命令时由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命。