インプレス ビジネスメディア

第2回:OSコマンド・インジェクションとクロスサイト・スクリプティング (1/4)

TOPシステムトレンド> OSコマンド・インジェクション
安全なウェブサイト
安全なWebサイトの作成ガイド

第2回:OSコマンド・インジェクションとクロスサイト・スクリプティング
 著者:独立行政法人 情報処理推進機構セキュリティセンター
2006/2/16
1   2  3  4  次のページ
OSコマンド・インジェクション

   Webアプリケーションによっては、外部からの攻撃により、WebサーバのOSコマンドを不正に実行されてしまう問題を持つものがあります。この問題を悪用した攻撃手法は、一般に「OSコマンド・インジェクション」と呼ばれています。

   OSコマンド・インジェクションの脆弱性がある場合、悪意あるリクエストにより、Webサーバ側で意図しないOSコマンドを実行させられ、重要情報が盗まれたり、攻撃の踏み台に悪用される可能性があります。

OSコマンド・インジェクション
図1:OSコマンド・インジェクション

   OSコマンド・インジェクション攻撃を受けた場合、Webサーバに保存されている重要情報を不正に取得されたり、Webサーバが攻撃の踏み台として悪用される可能性があります。

   OSコマンド・インジェクションの対策として、次の内容をご検討ください。
根本的解決

   根本的解決には「シェルを起動できる言語機能の利用を避ける」があります。

   これは、OSコマンド・インジェクションの原因を作らない実装です。Webアプリケーションに利用されている言語によっては、シェルを起動できる機能を持つものがあります。

   例えば、Perl言語のopen関数は、引数として与えるファイルパスに「|」(パイプ)を使うことでOSコマンドを実行できるため、外部からの入力値を引数として利用する実装は危険です。

   このような、シェルを起動できる言語機能の利用は避けてください。処理の目的によっては、他の関数などで代替できる場合があります。例えば、Perl言語でファイルを開きたい場合は、open関数ではなく、sysopen関数を利用します。

参考URL
 セキュアPerl プログラミング「Perl の危険な関数」
http://www.ipa.go.jp/security/awareness/vendor/programming/a04_02_main.html


保険的対策

   保険的対策には「シェルを起動できる言語機能を利用する場合は、その引数を構成するすべての変数に対してチェックを行い、あらかじめ許可された処理のみが実行されるようにする」があります。

   これは、根本的解決「シェルを起動できる言語機能の利用を避ける」を実施できない場合や、実施に漏れがあった場合にセーフティネットとなる対策です。

   シェルを起動できる言語機能の引数を構成する変数に対し、引数に埋め込む前にチェックをかけ、本来想定する動作のみが実行されるようにしてください。チェック方法には、その引数に許可する文字の組み合わせを洗い出し、その組み合わせ以外は許可しない「ホワイトリスト方式」をお勧めします。

   チェックの結果、許可しない文字の組み合わせが確認された場合は、引数へ渡さず、処理を中止させます。なお、チェック方法には、OSコマンド・インジェクション攻撃に悪用される記号文字(「|」、「<」、「>」など)など、問題となりうる文字を洗い出し、これを許可しない「ブラックリスト方式」もありますが、この方法はチェックに漏れが生じる可能性があるため、お勧めできません。
1   2  3  4  次のページ
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み

 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。

本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。

 安全なウェブサイトの作り方
 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf

 脆弱性関連情報に関する届出について
 http://www.ipa.go.jp/security/vuln/report/index.html

 IPA(独立行政法人情報処理推進機構)
 http://www.ipa.go.jp/index.html

 IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター)
 http://www.ipa.go.jp/security/index.html
独立行政法人情報処理推進機構セキュリティセンター
 著者プロフィール
独立行政法人 情報処理推進機構セキュリティセンター
情報処理推進機構セキュリティセンター(IPA/ISEC)は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。
INDEX
第2回:OSコマンド・インジェクションとクロスサイト・スクリプティング
OSコマンド・インジェクション
  クロスサイト・スクリプティング
  Webページに出力するすべての要素に対して、エスケープ処理を施す
  HTMLテキストの入力を許可する場合
安全なWebサイトの作成ガイド
第1回 Webアプリケーション開発者が知っておくべきセキュリティ
第2回 OSコマンド・インジェクションとクロスサイト・スクリプティング
第3回 セッション・ハイジャック、パス名パラメータを悪用したファイル参照、メールの第三者中継
第4回 Webサイトの安全性向上のための取り組み - 運用レベルでの解決や対策
第5回 認証情報の不正取得とフィッシング詐欺

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12