情報セキュリティ講座(104) OSコマンドインジェクション
Webサイト経由で、OSレベルの攻撃をするものです。通常Webアプリケーションは、データベースとは連携しますが、ファイルシステムなど、OSレベルのオペレーションはしません。例えは、ファイルを削除したり、名前を変更したり、アプリケーションを起動したり、といった動作です。
しかしWebアプリケーションには、シェルを起動する機能もあり、これを使うと、OSレベルの操作も可能です。
対策としては、Webアプリケーション側で、シェルを起動する機能を使用しないことがあげられます。
どうしてもシェルを起動する必要がある場合は、コマンドに引き渡す変数を、事前にチェックすることが有効です。
投稿者プロフィール
最新の投稿
- 総合2024.02.12動物たち
- バラの街2024.02.11黄色いレシートキャンペーン
- 手続きコンサルティング2024.02.10行政書士会 新年賀詞交換会
- 事務所2024.02.08日曜大工