// 広告ブロックによる損失収益の回復 広告ブロックによる損失収益の回復 // 広告ブロックによる損失収益の回復 エラー保護のメッセージ 省略可

【情報処理安全確保支援士】OSコマンドインジェクションとは?

OSコマンドインジェクション(OS Command Injection)の解説ページです。情報処理安全確保支援士では、令和4年度 春期 午後Ⅰ問2で出題されました。

OSコマンドインジェクションとは?

Webアプリケーションを通してOSコマンドを不正に実行させる攻撃です。

OSコマンド・インジェクションと、ナカグロ(・)を入れた表記もありますが、情報処理安全確保支援士試験ではOSコマンドインジェクションと表記されています。

発生しうる被害

  • 不正なプログラムのダウンロードと実行
  • 機密情報の漏洩
  • サーバー内ファイルの閲覧、改ざん、削除

OSコマンドインジェクション対策

  • Webアプリケーションの中でシェル(Shell)を起動しない
  • chroot環境でWebサーバを実行する
  • 入力値のチェック
タイトルとURLをコピーしました