skillup

技術ブログ

サーバー・ネットワーク プログラミング全般

OSコマンドインジェクション

投稿日:2017年2月2日 更新日:

OSコマンドインジェクションとは?

OSに対する命令文を不正に紛れ込ませて攻撃させる手法。

被害

  • サーバー内のファイルの閲覧、改ざん、削除
  • 不正なシステム操作
  • 不正なプログラムのダウンロード
  • 他システムへの攻撃

対策

  • シェルを起動できる言語機能の利用を避ける 例 Perlのopen関数など。
  • 使う場合はライブラリを使う、コマンドラインの中に変数を埋め込まないなどの対策をとる。
  • シェルを起動できる言語機能を使用する場合は引数を構成するすべての変数でチェックを行い、許可した処理のみ実行する。

参考リンク

IPA 安全なウェブサイトの作り方

-サーバー・ネットワーク, プログラミング全般
-

執筆者:

comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

正規表現に関して

SQLネタをいろいろと書いておりますが、ちょっとワンポイント的なネタで正規表現について書きたいと思います。 平均的なものは知っているつもりでしたが、シェルの正規表現について知らなかったのでちょっとメモ …

no image

Let’s Encryptによるhttps化

以前下記の記事で、herokuでLet’s Encryptを使おうとしたのですが、結局使うことがありませんでした。 herokuでのLet’s Encrypt設定 どこかで使おうか・・と考 …

no image

パス名パラメータの未チェック・ディレクトリトラバーサル

本日もセキュリティ関係のネタを少々。ディレクトリ・トラバーサルという攻撃です。 Contents1 ディレクトリ・トラバーサルとは?2 被害3 対策4 参考リンク ディレクトリ・トラバーサルとは? g …

no image

負荷調査のセオリー

以前にも下記リンクで負荷調査について記事を書いたんですが、もう少し掘り下げてみようかと。 サーバーの過負荷の発見 理論編 サーバーの過負荷の発見 メモリ使用率の調査&抽出、置換(awk,sed)コマン …

no image

テストコードの書き方の注意点

テストコードを実装する様になって1年ぐらいたったのですが、そこできづいたことなどを。 Contents1 タイトルをわかりやすく2 値をなるべく具体的に書く3 疑似的な仕組みはなるべく避ける(例:Mo …

PREV
SQLインジェクション
NEXT
パス名パラメータの未チェック・ディレクトリトラバーサル

最近の投稿

カテゴリー

アーカイブ

タグ

ansible apache aws bootstrap cakePHP CI docker GlassFish HTML+CSS Java8 JavaEE Jenkins JPA JSF Laravel MySQL nginx npm Paas Postgre SSL Strem url-rewrite vue まとめ インフラ全般 コーディングルール サーブレット&JSP シェルスクリプト テスト デザインパターン ビルドツール ライブラリ ログ 仕様書作成 例外やエラーハンドリング 入出力 採用 文字コード 文字列操作 日付 有用 正規表現 認証 配列

メタ情報

no image

2024/04/24

NoSQLについて

no image

2024/04/11

Saml認証とSSO(シングルサインオン)について

no image

2024/03/24

Azureの復習

no image

2024/02/05

TLS通信の基礎など

no image

2024/01/20

Kubernetesについて