OSコマンドインジェクションとは?
OSに対する命令文を不正に紛れ込ませて攻撃させる手法。
被害
- サーバー内のファイルの閲覧、改ざん、削除
- 不正なシステム操作
- 不正なプログラムのダウンロード
- 他システムへの攻撃
対策
- シェルを起動できる言語機能の利用を避ける 例 Perlのopen関数など。
- 使う場合はライブラリを使う、コマンドラインの中に変数を埋め込まないなどの対策をとる。
- シェルを起動できる言語機能を使用する場合は引数を構成するすべての変数でチェックを行い、許可した処理のみ実行する。