Security

OS コマンド・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月22日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「OS コマンド・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

運営主体やウェブサイトの性質を問わず、外部プログラムを呼び出し可能な関数等を使用しているウェブアプリケーションに注意が必要な問題です。

  • 外部プログラムを呼び出し可能な関数の例:
    • Perl:
      • open(), system(), eval() 等
    • PHP :
      • exec(), passthru(), shell_exec(), system(), popen() 等

根本的解決

(i) シェルを起動できる言語機能の利用を避ける。

利用を避ける関数

  • Perl
    • open関数

利用してもよい関数

  • Perl
    • sysopen関数

保険的対策

(ii) シェルを起動できる言語機能を利用する場合は、その引数を構成する全ての変数に対してチェックを行い、あらかじめ許可した処理のみを実行する。

関連CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

no image

クリックジャッキング(Clickjacking)対策

対策 方法1:CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。 方法2:HTTP レスポンスヘッダに、X-Frame-Options …

Web

openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する

openssl s_client コマンドを使い、ウェブサーバーのSSL/TLS対応状況を診断します。 目次1. OpenSSL について2. openssl s_client コマンドについて以降の …

Web Security

JavaScript とHTML5のセキュリティ対策

JavaScript や HTML5 を安全に使うため、気を付けるべきポイントについて書いています。 目次1. 基礎知識発生しやすい脆弱性信頼できない値はどこからくるのか?(ソース)信頼できない値が出 …

ICTリテラシー

紛らわしいパスワードを生成しない工夫

紛らわしいパスワードを生成しない工夫について書いています。

Web

PKCS #12 形式の証明書ファイルに対するコマンド操作

PKCS #12 形式の証明書ファイルに対するコマンド操作について説明します。