skillup

技術ブログ

サーバー・ネットワーク プログラミング全般

OSコマンドインジェクション

投稿日:

OSコマンドインジェクションとは?

OSに対する命令文を不正に紛れ込ませて攻撃させる手法。

被害

  • サーバー内のファイルの閲覧、改ざん、削除
  • 不正なシステム操作
  • 不正なプログラムのダウンロード
  • 他システムへの攻撃

対策

  • シェルを起動できる言語機能の利用を避ける 例 Perlのopen関数など。
  • 使う場合はライブラリを使う、コマンドラインの中に変数を埋め込まないなどの対策をとる。
  • シェルを起動できる言語機能を使用する場合は引数を構成するすべての変数でチェックを行い、許可した処理のみ実行する。

参考リンク

安全なウェブサイトの作り方

http://senmon.cfc.ac.jp/studentreport/report2/OS.html

-サーバー・ネットワーク, プログラミング全般
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

serverspecによるサーバー自動テスト

最近は管理しているサーバーが多いのと、構成管理ツール(Ansible)なんかをちょくちょく使ってますが、ちゃんと入っているかどうかを確認するのはそれなりに大変だったりします。 が、構成管理ツール自体も …

no image

VPSのCentOS上にVirtualBox+Vagrantをインストール

普段使っているPCにVirtualBox+Vagrantをいれることはあったんですが、VPS上のCentOSに仮想環境を入れたいとの要件があり、試してみました。 結論からすると結局できなかったんですが …

no image

SSHのfinger printに関して

今まで何気なくやっていることをあまり実は理解していない・・なんてことが多いもんで、最近は復習の必要性を感じています。 今回のお題はSSHのfinger printです。 初めてSSH先に接続するときに …

no image

nginx上でのcakePHP

cakePHP上をCentOS,nginx上で公開するときのメモなどを。 cakeのversionは2.5です。 /var/www/html/sampleapp直下にプログラムを配置するものとします。 …

no image

wordpressでのnginx設定

ここ1年、apacheではなく、nginxでサービスを作ることが多いため、設定にだいぶ慣れてきました。 今回はwordpressの設定です。 バーチャルホストでsample.comとアクセスをするとw …