OWASP A03:2021 — Injection

Detector de Inyección de Comandos

Command Injection permite a un atacante ejecutar comandos arbitrarios en el servidor. Es una de las vulnerabilidades más críticas: puede comprometer completamente el sistema.

Analizar mi código gratis →

Código vulnerable vs. seguro

Vulnerable (Python)

import os filename = request.args['file'] # ⚠️ Ejecuta comandos del usuario os.system(f"cat {filename}") # Ataque: file = "; rm -rf /"

Seguro (Python)

import subprocess filename = request.args['file'] # ✅ Args como lista, sin shell=True result = subprocess.run( ['cat', filename], capture_output=True )

Vulnerable (Node.js)

const { exec } = require('child_process') const ip = req.query.ip exec(`ping ${ip}`, callback)

Seguro (Node.js)

const { execFile } = require('child_process') const ip = req.query.ip // Validar IP + usar execFile execFile('ping', [ip], callback)

¿Tu código ejecuta comandos con datos del usuario?

Detecta el riesgo antes de llegar a producción. 5 análisis gratis.

Analizar ahora → Gratis

Otras herramientas de seguridad

Detector de SQL InjectionDetector de XSSDetector de CSRF