Я выполняю сканирование безопасности с помощью OW ASP, которое обнаруживает уязвимость путем удаленного внедрения команд операционной системы с помощью метода GET, поэтому он показывает мне такой URL-адрес
www.mysite.com/create.php?id=167%27%3Bstart-sleep+-s+15&name=11
Я понимаю что он заставляет сервер спать на 15 секунд, но проблема в том, что если поток действительно спит, веб-сайт должен задерживать процесс загрузки примерно на 15 секунд, но веб-страница загружается мгновенно, даже если я заменю 15 на 60 или 120, страница все равно загружается мгновенно.
Кроме того, отчет OW ASP не показывает мне никакого текста в поле доказательства.
Есть идеи? Возможно ли, что OW ASP выдает ложное предупреждение? Или команда сна не засыпает поток? Почему не работает удаленная команда?