skillup

技術ブログ

サーバー・ネットワーク プログラミング全般

OSコマンドインジェクション

投稿日:2017年2月2日 更新日:

OSコマンドインジェクションとは?

OSに対する命令文を不正に紛れ込ませて攻撃させる手法。

被害

  • サーバー内のファイルの閲覧、改ざん、削除
  • 不正なシステム操作
  • 不正なプログラムのダウンロード
  • 他システムへの攻撃

対策

  • シェルを起動できる言語機能の利用を避ける 例 Perlのopen関数など。
  • 使う場合はライブラリを使う、コマンドラインの中に変数を埋め込まないなどの対策をとる。
  • シェルを起動できる言語機能を使用する場合は引数を構成するすべての変数でチェックを行い、許可した処理のみ実行する。

参考リンク

IPA 安全なウェブサイトの作り方

-サーバー・ネットワーク, プログラミング全般
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

vagrantでの静的ファイルのキャッシュがクリアされない

タイトルのまんまですが、vagrantでapacheを使ってまして、静的ファイルのキャッシュがクリアされないと言う問題が発生しました。 vagrantは結構長い間使ってましたが、今まで素のhtmlを書 …

no image

cakePHPでのサブディレクトリ(apache)

apache使用時、cakePHP2系をサブディレクトリで使いたいときの運用法に関して。通所通りですとファイルにアクセスできないので、URLのリライトをうまくしないといけません。下記に設定例をかきます …

no image

pythonのアップグレードに関して

pythonのアップグレードに関して。 python2.6だとpipがインストールされていないのですが、入れようとしてハマったのでメモ。 一般的なインストール方法ですが、下記のようになります。 [cr …

no image

ExcelVBAに関して(主にプロシージャ)

いつも半年ごとぐらいに触っていてあまり知識が蓄積しないので(汗)これを機につまづいたところをちょっとメモ。 Contents1 基本2 メモ3 参考リンク 基本 基本的な変数の代入や条件分岐、ループな …

no image

herokuでのhttpd.conf設定

前回の記事でLet’s EncryptでSSL設定する場合、 http://ドメイン/.well-known/ というURLにアクセスする必要があります。 ただherok …

アーカイブ