情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

OSコマンドインジェクションは、ユーザー入力をOSに発行するコマンドの一部として使用しているWebアプリケーションに対して、OSコマンドを含む不正な入力を与えることで、サーバ上で不正なOSコマンドを実行させる攻撃手法です。本来は許可されないコマンドが実行されることにより、不正なファイル操作、外部プログラムの実行、重要情報の窃取などの被害が発生するおそれがあります。多くのプログラミング言語には、引数として指定された文字列をOSのシェルに渡して実行させる関数等が存在します。例えば、PHPのexec、Perlのopen、Pythonのsubprocess.callなどが該当します。外部からの入力値を適切に検証せずにこれらの関数を使用している場合、攻撃者に任意のコマンドを実行されるリスクがあります。

• HTTPヘッダーインジェクションは、動的にHTTPヘッダーを生成するシステムにおいて、HTTPヘッダー内に改行コードなどを不正挿入することによって、不正なヘッダー情報を挿入したり、任意の記述をメッセージボディに挿入したりする攻撃です。
• 正しい。OSコマンドインジェクションは、入力値としてOSコマンドとして解釈される文字列を紛れ込ませることにより、システムに不正なOSコマンドを実行させる攻撃です。
• クロスサイトリクエストフォージェリは、Webサイトに設置されたハイパーリンクや実行されるスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。引き起こされる被害例としては、会員情報の変更、商品の購入などがあります。
• セッションハイジャックは、TCPコネクションやクライアント－サーバ間の正規のセッションを奪い取る行為です。