skillup

技術ブログ

サーバー・ネットワーク プログラミング全般

OSコマンドインジェクション

投稿日:2017年2月2日 更新日:

OSコマンドインジェクションとは?

OSに対する命令文を不正に紛れ込ませて攻撃させる手法。

被害

  • サーバー内のファイルの閲覧、改ざん、削除
  • 不正なシステム操作
  • 不正なプログラムのダウンロード
  • 他システムへの攻撃

対策

  • シェルを起動できる言語機能の利用を避ける 例 Perlのopen関数など。
  • 使う場合はライブラリを使う、コマンドラインの中に変数を埋め込まないなどの対策をとる。
  • シェルを起動できる言語機能を使用する場合は引数を構成するすべての変数でチェックを行い、許可した処理のみ実行する。

参考リンク

IPA 安全なウェブサイトの作り方

-サーバー・ネットワーク, プログラミング全般
-

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

SSHのfinger printに関して

今まで何気なくやっていることをあまり実は理解していない・・なんてことが多いもんで、最近は復習の必要性を感じています。 今回のお題はSSHのfinger printです。 初めてSSH先に接続するときに …

no image

set,ifディレクティブ,変数に関して

これまで基本的なnginxの設定についてみてきましたが、今回はset,ifディレクティブについてみていきます。 Contents1 変数とset2 error_page3 名前付きlocation 変 …

no image

命名規則について その2

リーダブルコードネタ第3段。 前回のエントリーに引き続き、名称の大切さについて Contents1 あいまいな名前はNG!1.1 限界値はmaxかminを使う1.2 範囲を指定するときはfirstとl …

no image

herokuへのdockerコンテナ送付とdocker volumeについて

Contents1 herokuへのdockerコンテナ送付2 ファイル構成2.1 コマンド2.2 注意点3 docker volumeの記述 herokuへのdockerコンテナ送付 Herokuで …

no image

画面テストのツールに関して

Unitテストに関してはxUnit一択だと思いますが、UI系のテストツールについて。 IDE(コードを書かずにすむマクロ系)に関して全てChromeで動くことを確認しています。 Contents1 ツ …

アーカイブ