OSコマンドインジェクション

OSコマンドインジェクションは、閲覧者からのデータの入力や操作を受け付けるようなWebサイトにおいて、悪意を持つ外部からパラメータを介してOSに対するコマンドを埋め込み、不正に操作を実行する攻撃を意味します。

引用元：https://www.ipa.go.jp/files/000017316.pdf

被害

・情報漏洩及びファイルの改ざん及び削除
・不正なシステム操作による意図しないOSのシャットダウンやユーザアカウント設定変更
・不正プログラムダウンロードによるマルウェア感染
・踏み台になり他のシステムを対象としたサービス不能攻撃、迷惑メールの送信

注意が必要なWebサイトの特徴

外部プログラムを呼び出す関数等用いて運用されているWebアプリケーション等
例えば、Perlのopen関数、system関数やPHPのexec関数等

対策

・上記の関数以外を利用
・上記の関数を用いる場合はそれらを構成する全ての変数を確認し、あらかじめ許可した処理のみを実行

関連リンク

Web脆弱性診断サービス

CSRF

SQLインジェクション

XSS

ディレクトリ・リスティング

メールヘッダ・インジェクション

ディレクトリ・トラバーサル

HTTPヘッダ・インジェクション