面向嵌入式CGI的命令注入漏洞挖掘研究

嵌入式IoT设备系统种类多差别大，系统存在危险数据过滤不严格的风险大，攻击者可通过精心构造的恶意数据包获取系统的控制权。嵌入式系统的安全性已逐渐成为设备被广泛采纳的最大障碍。针对命令注入型漏洞与程序接收数据密切相关这一特征，本文通过对嵌入式通用网关接口（Common Gateway Interface,CGI）程序接收的数据进行数据流分析，使用污点分析技术研判程序接收的数据是否能够不经无害处理而到达系统敏感函数，达到检测CGI程序是否存在命令注入漏洞的目的。