skillup

技術ブログ

サーバー・ネットワーク プログラミング全般

OSコマンドインジェクション

投稿日:2017年2月2日 更新日:

OSコマンドインジェクションとは?

OSに対する命令文を不正に紛れ込ませて攻撃させる手法。

被害

  • サーバー内のファイルの閲覧、改ざん、削除
  • 不正なシステム操作
  • 不正なプログラムのダウンロード
  • 他システムへの攻撃

対策

  • シェルを起動できる言語機能の利用を避ける 例 Perlのopen関数など。
  • 使う場合はライブラリを使う、コマンドラインの中に変数を埋め込まないなどの対策をとる。
  • シェルを起動できる言語機能を使用する場合は引数を構成するすべての変数でチェックを行い、許可した処理のみ実行する。

参考リンク

IPA 安全なウェブサイトの作り方

-サーバー・ネットワーク, プログラミング全般
-

執筆者:

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Terraform入門(シンプルなEC2の構築)

前回の記事でcloudformationとterraformの比較や紹介をしましたが、terraformがとっつきやすかったため、簡単なサンプルとメモを。 Contents1 インストール2 実行手順 …

no image

フレームワークのマイナーバージョンチェンジの影響に関して

ここ1年ぐらいPHPのフレームワークはLaravelを使っていますが、マイナーバージョンの影響に悩まされることがたまにあります。 以前、遭遇した事象としてはログイン連携が急にできなくなりました。 La …

no image

clamAV

ウイルスソフトclamAVのインストールと使用法について Contents1 インストール1.1 CentOS61.2 CentOS72 スキャン実行の設定に関して インストール CentOS6 [c …

no image

トランザクション、ロールバックに関する考察

今までトランザクションの単位は基本的に処理の開始から終了までを範囲にすることが多かったのですが(ループがある場合はループ全体ではなく、1ループをトランザクションとみなします)、複数の処理が絡む場合、不 …

no image

vimの設定に関して

今の開発ではほとんどeclipseを使っていますが、プログラミングをやり始めてから2年ぐらいはずっとgvim(vimのGUI版)でした。 別にこだわりがあったわけではないんですけどね。 最初にならった …

PREV
SQLインジェクション
NEXT
パス名パラメータの未チェック・ディレクトリトラバーサル

最近の投稿

カテゴリー

アーカイブ

タグ

ansible apache aws bootstrap cakePHP CI docker GlassFish HTML+CSS Java8 JavaEE Jenkins JPA JSF Laravel List MySQL nginx npm Paas Postgre SSL Strem url-rewrite vue まとめ インフラ全般 コーディングルール サーブレット&JSP シェルスクリプト テスト ビルドツール ライブラリ ログ 仕様書作成 例外やエラーハンドリング 入出力 採用 文字コード 文字列操作 日付 有用 正規表現 認証 配列

メタ情報

no image

2023/09/23

プロジェクトマネジメントについて

no image

2023/08/20

テストコードの粒度に関して

no image

2023/08/03

ChatGPTやGitCopilotについて

no image

2023/07/29

例外発生時で考えるべきポイント

no image

2023/06/25

テストコードの書き方の注意点