平成29年 春期 情報処理安全確保支援士 午前II 問12

Webアプリケーションの(ぜい)弱性を悪用する攻撃手法のうち、Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し、不正にシェルスクリプトや実行形式のファイルを実行させるものはどれか。

 ア  HTTPヘッダインジェクション
 イ  OSコマンドインジェクション
 ウ  クロスサイトリクエストフォージェリ
 エ  セッションハイジャック


答え イ


解説

 ア  HTTPヘッダインジェクション(HTTP header injection)は、HTTPを使って通信するシステムにおいて、動的にHTTPヘッダを生成する機能の不備を突いてヘッダ行を挿入することで不正な動作を行なわせる攻撃手法です。
 イ  OSコマンドインジェクションは、利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないコマンドを実行させることを狙った攻撃です。
 ウ  クロスサイトリクエストフォージェリ(cross site request forgeries)は、Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで、Webサイトに被害を与える攻撃手法です。
 エ  セッションハイジャック(session hijacking)は、認証が終了し、セッションを開始しているブラウザとWebサーバ間の通信で、Cookie情報などのセッション情報を盗み、セッションを乗っ取る攻撃手法です。


キーワード
・OSコマンドインジェクション

キーワードの解説
  • OSコマンドインジェクション(OS command injection)
    Webページの利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないOSコマンドを実行させることを狙った攻撃で、サーバのroot権限が乗っ取られたりする足がかりになる非常に危険な問題です。
    対策としてはユーザが入力したパラメータに対しサニタイジング(sanitizing、無毒化)を行い、OSコマンドなどが実行されないようにしたり、サーバで動作するサービスの権限を最低限のものにするなどがあります。

もっと、「OSコマンドインジェクション」について調べてみよう。

戻る 一覧へ 次へ