- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2021-09-27T22:14:56+09:00","default:k1rou","k1rou")
*OSコマンドインジェクション [#h0d71520]
#author("2021-12-21T13:12:44+09:00","default:k1rou","k1rou")
*OSコマンドインジェクション とは [#v4de6b21]
**名称 [#raf17ed2]
-OS Command Injection
**OSコマンドインジェクション とは [#v4de6b21]
**概要 [#q7a145f2]
-WebページのフォームにOSコマンドを含めた不正な入力データを与えることで、サーバ上のファイルへの不正なアクセス等を実行させる攻撃。
-プログラミング言語ごとに用意されているOSコマンドを実行するための関数を使っている場合に、OSコマンドインジェクションの脆弱性があると悪用される。
**対策 [#j479db92]
*対策 [#j479db92]
-OSコマンドを呼び出す関数を使わない。
-OSコマンドを呼び出す関数を使う場合
--入力可能な文字を制限する
--制限外の文字が入力された場合はエラーとする(エスケープ処理は行わない)
-[[WAF]]を使う。
**OSコマンドを呼び出す関数 [#r6ea0859]
*OSコマンドを呼び出す関数 [#r6ea0859]
-Perl
--exec()
--open()
-PHP
--exec()
--passthru()
--proc_open()
--shell_exec()
--system()
-Python
--os.system()
--os.popen()
**関連サイト [#m37ede4d]
*関連サイト [#m37ede4d]
-CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')~
https://cwe.mitre.org/data/definitions/78.html
-CWE-78 OSコマンドインジェクション~
https://jvndb.jvn.jp/ja/cwe/CWE-78.html
**関連用語 [#r344872b]
*関連用語 [#r344872b]
-[[インジェクション]]
-[[ディレクトリトラバーサル]]
バックアップ