OSコマンドインジェクション
特徴
- OSコマンドインジェクションとは、Webアプリケーションの脆弱性を悪用する攻撃手法の一つで、Webページ上でユーザの入力値を元にOSコマンドを使用して動的にWebページを生成するシステムで、入力値として不正な値とすることで、シェルスクリプトなどによりファイルの操作、パスワードの取得などを行う攻撃である。
過去問
平成30年度 秋期 情報処理安全確保支援士試験
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問13(一部、加工あり)】
Webアプリケーションの脆弱性を悪用する攻撃手法のうち、Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し、不正にシェルスクリプトを実行させるものは、どれに分類されるか。
- HTTPヘッダインジェクション
→HTTPヘッダインジェクションは、動的にHTTPヘッダを生成するシステムにおける脆弱性を利用して、HTTPヘッダ内に改行コードなどを挿入することによって”Set-Cookie”,”Location”などの攻撃のための不正なヘッダ情報を挿入したり、メッセージボディに任意の記述を挿入する攻撃です。 - OSコマンドインジェクション
→正解 - クロスサイトリクエストフォージェリ
→クロスサイトリクエストフォージェリ(CSRF)は、Webサイトに設置されたリンクやスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。 - セッションハイジャック
→セッションハイジャックは、TCPコネクションやクライアント-サーバ間でのログイン中の利用者のセッションIDを不正に取得するなどして、利用者になりすましてセッションを乗っ取る攻撃です。
