OSコマンドインジェクション

OSコマンドインジェクション とは†

名称†

• OS Command Injection

概要†

• WebページのフォームにOSコマンドを含めた不正な入力データを与えることで、サーバ上のファイルへの不正なアクセス等を実行させる攻撃。
• プログラミング言語ごとに用意されているOSコマンドを実行するための関数を使っている場合に、OSコマンドインジェクションの脆弱性があると悪用される。
• CWE-78

対策†

• OSコマンドを呼び出す関数を使わない。
• OSコマンドを呼び出す関数を使う場合
  • 入力可能な文字を制限する
  • 制限外の文字が入力された場合はエラーとする(エスケープ処理は行わない)

• WAFを使う。

OSコマンドを呼び出す関数†

• Perl
  • exec()
  • open()

• PHP
  • exec()
  • passthru()
  • proc_open()
  • shell_exec()
  • system()

• Python
  • os.system()
  • os.popen()

関連サイト†

• CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
  https://cwe.mitre.org/data/definitions/78.html

• CWE-78 OSコマンドインジェクション
  https://jvndb.jvn.jp/ja/cwe/CWE-78.html

関連用語†

• インジェクション
• ディレクトリトラバーサル

最新の20件

新規