2021年 春期 ネットワークスペシャリスト 午前II 問21

Webアプリケーションソフトウェアの脆(ぜい)弱性を悪用する攻撃手法のうち、入力した文字列がPerlのsystem関数、PHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、どれに分類されるか。

【キーワード】
・OSコマンドインジェクション

• OSコマンドインジェクション(OS command injection)
  Webページの利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないOSコマンドを実行させることを狙った攻撃で、サーバのroot権限が乗っ取られたりする足がかりになる非常に危険な問題です。
  対策としてはユーザーが入力したパラメータに対しサニタイジング(sanitizing、無毒化)を行い、OSコマンドなどが実行されないようにしたり、サーバで動作するサービスの権限を最低限のものにするなどがあります。

戻る 一覧へ 次へ