平成30年春期情報処理安全確保支援士午前II 問2

平成30年春期情報処理安全確保支援士午前II 問2

Webサーバのログを分析したところ、Webサーバへの攻撃と思われるHTTPリクエストヘッダーが記録されていた。
次のリクエストヘッダーから観測できる、攻撃者が悪用しようとしている脆(ぜい)弱性はどれか。
ここで、HTTPリクエストヘッダーはデコード済みである。

[HTTPリクエストのヘッダー部分]
　GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
　Accept: */*
　Accept-Language: ja
　UA-CPU: x86
　Accept-Agent:(省略)
　Host: test.example.com
　Connection: Keep-Alive

ア	HTTPヘッダインジェクション
イ	OSコマンドインジェクション
ウ	SQLインジェクション
エ	クロスサイトスクリプション

【キーワード】
・OSコマンドインジェクション

【キーワードの解説】

OSコマンドインジェクション(OS command injection)
Webページの利用者が入力するパラメータとしてOSコマンドを挿入し、意図しないOSコマンドを実行させることを狙った攻撃で、サーバのroot権限が乗っ取られたりする足がかりになる非常に危険な問題です。
対策としてはユーザーが入力したパラメータに対しサニタイジング(sanitizing、無毒化)を行い、OSコマンドなどが実行されないようにしたり、サーバで動作するサービスの権限を最低限のものにするなどがあります。

戻る一覧へ次へ