OSコマンドインジェクション(OS Command Injection)の解説ページです。情報処理安全確保支援士では、令和4年度 春期 午後Ⅰ問2で出題されました。
OSコマンドインジェクションとは?
Webアプリケーションを通してOSコマンドを不正に実行させる攻撃です。
OSコマンド・インジェクションと、ナカグロ(・)を入れた表記もありますが、情報処理安全確保支援士試験ではOSコマンドインジェクションと表記されています。
発生しうる被害
- 不正なプログラムのダウンロードと実行
- 機密情報の漏洩
- サーバー内ファイルの閲覧、改ざん、削除
OSコマンドインジェクション対策
- Webアプリケーションの中でシェル(Shell)を起動しない
- chroot環境でWebサーバを実行する
- 入力値のチェック
