OSコマンドインジェクション

特徴

  • OSコマンドインジェクションとは、Webアプリケーションの脆弱性を悪用する攻撃手法の一つで、Webページ上でユーザの入力値を元にOSコマンドを使用して動的にWebページを生成するシステムで、入力値として不正な値とすることで、シェルスクリプトなどによりファイルの操作、パスワードの取得などを行う攻撃である。

過去問

平成30年度 秋期 情報処理安全確保支援士試験

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問13(一部、加工あり)】

Webアプリケーションの脆弱性を悪用する攻撃手法のうち、Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、どれに分類されるか。

  1. HTTPヘッダインジェクション
    →HTTPヘッダインジェクションは、動的にHTTPヘッダを生成するシステムにおける脆弱性を利用して、HTTPヘッダ内に改行コードなどを挿入することによって”Set-Cookie”,”Location”などの攻撃のための不正なヘッダ情報を挿入したり、メッセージボディに任意の記述を挿入する攻撃です。
  2. OSコマンドインジェクション
    →正解
  3. クロスサイトリクエストフォージェリ
    →クロスサイトリクエストフォージェリ(CSRF)は、Webサイトに設置されたリンクやスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。
  4. セッションハイジャック
    →セッションハイジャックは、TCPコネクションやクライアント-サーバ間でのログイン中の利用者のセッションIDを不正に取得するなどして、利用者になりすましてセッションを乗っ取る攻撃です。

次の記事

SMTP-AUTH