[ThinkIT] 第2回:OSコマンド・インジェクションとクロスサイト・スクリプティング (1/4)
Webアプリケーションによっては、外部からの攻撃により、WebサーバのOSコマンドを不正に実行されてしまう問題を持つものがあります。この問題を悪用した攻撃手法は、一般に「OSコマンド・インジェクション」と呼ばれています。 OSコマンド・インジェクションの脆弱性がある場合、悪意あるリクエストにより、Webサーバ側で意図しないOSコマンドを実行させられ、重要情報が盗まれたり、攻撃の踏み台に悪用される可能性があります。 OSコマンド・インジェクション攻撃を受けた場合、Webサーバに保存されている重要情報を不正に取得されたり、Webサーバが攻撃の踏み台として悪用される可能性があります。 OSコマンド・インジェクションの対策として、次の内容をご検討ください。 根本的解決には「シェルを起動できる言語機能の利用を避ける」があります。 これは、OSコマンド・インジェクションの原因を作らない実装です。Web
脆弱性辞典/OSコマンド・インジェクション - セキュアプログラミングしよう。
脆弱性辞典/OSコマンド・インジェクション 別称:OS Command Injection 概要 † 外部からサーバ上の任意のOSコマンドが実行可能という脆弱性。いきなりサーバを壊されたり、乗ったられたり、ファイルが流出したりする可能性のある非常に深刻度の高い脆弱性です。 原因 † 冒頭の画像は、sendmailコマンドを利用してメール送信をする処理に混入したOSコマンド・インジェクション脆弱性を示したものです。利用者がフォームにメールアドレスを入力すると、そのメールアドレスに対して自動的にメールを送信するというものです。具体的には次のような処理です(Perl)。 my $mail = CGI::param('mail'); open(MAIL, "|/usr/lib/sendmail $mail"); print MAIL "Subject: registered\n"; print
OSコマンドインジェクションを防ぐルールを作成する
OSコマンドインジェクションを防ぐルールを作成する:Webアプリケーションに潜むセキュリティホール(13)(1/3 ページ) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、クロスサイトスクリプティングを防ぐルールを作成した。今回は、OSコマンドインジェクション用のルールを考えてみることにしよう。OSコマンドは使用OSによって異なるため、今回はUNIX系OS向けのルールを作成する。 なお、前回のクロスサイトスクリプティング
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Command Injection - OWASP