本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

OS コマンドインジェクション

OSコマンドインジェクションは、外部入力を悪用してサーバ上で意図しないOSコマンドを実行させる攻撃です。

もう少し詳しく

Webアプリが入力値をそのままシェルコマンドへ連結すると、攻撃者が区切り文字や追加コマンドを混ぜて任意の命令を実行できることがあります。SQLインジェクションがDBへの命令を不正化するのに対し、OSコマンドインジェクションはOSのコマンド実行が問題になります。対策はOSコマンド呼出しを避ける、引数を厳格に検証する、権限を最小化することです。

試験での見方

黒猫の闇の刻印

「サーバ上で任意のコマンドを実行」「; rm」「shell」「system関数」などが出たらOSコマンドインジェクションです。

ファイル名入力欄に「test.txt; cat /etc/passwd」のような文字列を入れ、サーバに余計なコマンドを実行させます。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:情報セキュリティ

関連トピック:攻撃手法

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

DDoS攻撃・標的型攻撃 DNS キャッシュポイズニング IP スプーフィング SQLインジェクション セッションハイジャック

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ