Security

OS コマンド・インジェクション by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月22日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「OS コマンド・インジェクション」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

運営主体やウェブサイトの性質を問わず、外部プログラムを呼び出し可能な関数等を使用しているウェブアプリケーションに注意が必要な問題です。

  • 外部プログラムを呼び出し可能な関数の例:
    • Perl:
      • open(), system(), eval() 等
    • PHP :
      • exec(), passthru(), shell_exec(), system(), popen() 等

根本的解決

(i) シェルを起動できる言語機能の利用を避ける。

利用を避ける関数

  • Perl
    • open関数

利用してもよい関数

  • Perl
    • sysopen関数

保険的対策

(ii) シェルを起動できる言語機能を利用する場合は、その引数を構成する全ての変数に対してチェックを行い、あらかじめ許可した処理のみを実行する。

関連CWE

参考URL

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」 パスワードに関する対策 初期パスワードは、推測が困難な文字列で発行 …

Web Security

WebサイトのHTTPS(SSL)化には Upgrade-Insecure-Requests を使いましょう

目次はじめに原理方法1方法2方法1の設定方法Apacheでの設定Nginx での設定ブラウザの対応状況参考 はじめに せっかくSSLサーバー証明書をとって、Webサイトを SSL化したのに、コンテンツ …

no image

SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: Injection, Inject via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「SQLインジェクシ …

Web Security

「秘密の質問」機能について

目次「秘密の質問」とは?「秘密の質問」をどう使えばよいのか?参考サイト 「秘密の質問」とは? 「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインタ …

no image

バッファオーバーフロー by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「バッファオーバーフロー 」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイトの特 …