Webアプリケーションソフトウェアの
| ア | HTTPヘッダインジェクション |
| イ | OSコマンドインジェクション |
| ウ | クロスサイトリクエストフォージェリ |
| エ | セッションハイジャック |
答え イ
【解説】
サーバで使われるOSであるMS-WindowsやLinuxのコマンドを実行して情報を盗み出したり、システムへ攻撃するだけでなく、入力した文字列がPerlのsystem関数、PHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、OSコマンドインジェクション(イ)になります。
【キーワード】
・OSコマンドインジェクション
- OSコマンドインジェクション(OS command injection)
Webページの利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないOSコマンドを実行させることを狙った攻撃で、サーバのroot権限が乗っ取られたりする足がかりになる非常に危険な問題です。
対策としてはユーザーが入力したパラメータに対しサニタイジング(sanitizing、無毒化)を行い、OSコマンドなどが実行されないようにしたり、サーバで動作するサービスの権限を最低限のものにするなどがあります。
もっと、「OSコマンドインジェクション」について調べてみよう。
戻る
一覧へ
次へ