2021年 春期 ネットワークスペシャリスト 午前II 問21

Webアプリケーションソフトウェアの弱性を悪用する攻撃手法のうち、入力した文字列がPerlのsystem関数、PHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、どれに分類されるか。

 ア  HTTPヘッダインジェクション
 イ  OSコマンドインジェクション
 ウ  クロスサイトリクエストフォージェリ
 エ  セッションハイジャック


答え イ


解説
サーバで使われるOSであるMS-WindowsやLinuxのコマンドを実行して情報を盗み出したり、システムへ攻撃するだけでなく、入力した文字列がPerlのsystem関数、PHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、OSコマンドインジェクション(イ)になります。


キーワード
・OSコマンドインジェクション

キーワードの解説
  • OSコマンドインジェクション(OS command injection)
    Webページの利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないOSコマンドを実行させることを狙った攻撃で、サーバのroot権限が乗っ取られたりする足がかりになる非常に危険な問題です。
    対策としてはユーザが入力したパラメータに対しサニタイジング(sanitizing、無毒化)を行い、OSコマンドなどが実行されないようにしたり、サーバで動作するサービスの権限を最低限のものにするなどがあります。

もっと、「OSコマンドインジェクション」について調べてみよう。

戻る 一覧へ 次へ