平成23年 秋期 情報セキュリティスペシャリスト 午前II 問16

Webアプリケーションの脆弱性を悪用する攻撃手法のうち、Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し、不正にシェルスクリプトや実行形式のファイルを実行させるものはどれか。

 ア  HTTPヘッダインジェクション
 イ  OSコマンドインジェクション
 ウ  クロスサイトリクエストフォージェリ
 エ  セッションハイジャック


答え イ


解説

 ア  HTTPヘッダインジェクション(HTTP header injection)は、HTTPを使って通信するシステムにおいて、動的にHTTPヘッダーを生成する機能の不備を突いてヘッダー行を挿入することで不正な動作を行なわせる攻撃手法です。
 イ  OSコマンドインジェクションは、利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないコマンドを実行させることを狙った攻撃です。
 ウ  クロスサイトリクエストフォージェリ(cross site request forgeries)は、Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで、Webサイトに被害を与える攻撃手法です。
 エ  セッションハイジャック(session hijacking)は、認証が終了し、セッションを開始しているブラウザとWebサーバ間の通信で、Cookie情報などのセッション情報を盗み、セッションを乗っ取る攻撃手法です。


キーワード
・OSコマンドインジェクション

キーワードの解説
  • OSコマンドインジェクション(OS command injection)
    Webページの利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないOSコマンドを実行させることを狙った攻撃で、サーバのroot権限が乗っ取られたりする足がかりになる非常に危険な問題です。
    対策としてはユーザーが入力したパラメータに対しサニタイジング(sanitizing、無毒化)を行い、OSコマンドなどが実行されないようにしたり、サーバで動作するサービスの権限を最低限のものにするなどがあります。

もっと、「OSコマンドインジェクション」について調べてみよう。

戻る 一覧へ 次へ