OS コマンドインジェクション(OS Command Injection) は、オペレーティングシステムのコマンドを不正に実行できてしまう脆弱性および攻撃手法です。 コマンド注入攻撃、コマンドインジェクションとも呼ばれます。 Web アプリケーションのコードに OS コマンドの呼び出し処理があり、ユーザーが入力したデータがコマンドの一部分を構成している場合に発生します。 本記事では、OS コマンドインジェクション(以下、コマンドインジェクション)の概要と攻撃による影響、対策について解説していきます。 コマンドインジェクションとはなにかコマンドインジェクションは、攻撃者が Web アプリケーションを通して、Web サーバが動作する OS でコマンドを実行できてしまう脆弱性です。 コマンドインジェクションが起きるまでの流れ 攻撃者は、Cookie やフォームのデータ、URL のクエリパラメータ