脆弱性辞典/OSコマンド・インジェクション - セキュアプログラミングしよう。脆弱性辞典/OSコマンド・インジェクション 別称:OS Command Injection 概要 † 外部からサーバ上の任意のOSコマンドが実行可能という脆弱性。いきなりサーバを壊されたり、乗ったられたり、ファイルが流出したりする可能性のある非常に深刻度の高い脆弱性です。 原因 † 冒頭の画像は、sendmailコマンドを利用してメール送信をする処理に混入したOSコマンド・インジェクション脆弱性を示したものです。利用者がフォームにメールアドレスを入力すると、そのメールアドレスに対して自動的にメールを送信するというものです。具体的には次のような処理です(Perl)。 my $mail = CGI::param('mail'); open(MAIL, "|/usr/lib/sendmail $mail"); print MAIL "Subject: registered\n"; print
