情報セキュリティ講座(104) OSコマンドインジェクション

Webサイト経由で、OSレベルの攻撃をするものです。通常Webアプリケーションは、データベースとは連携しますが、ファイルシステムなど、OSレベルのオペレーションはしません。例えは、ファイルを削除したり、名前を変更したり、アプリケーションを起動したり、といった動作です。

しかしWebアプリケーションには、シェルを起動する機能もあり、これを使うと、OSレベルの操作も可能です。

対策としては、Webアプリケーション側で、シェルを起動する機能を使用しないことがあげられます。

どうしてもシェルを起動する必要がある場合は、コマンドに引き渡す変数を、事前にチェックすることが有効です。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。