コマンドインジェクション
読み方:コマンドインジェクション
コマンドインジェクションとは
コマンドインジェクションとは、脆弱性をもつWebサイトやWebアプリの入力フォームから不正な命令(コマンド)を送り、WebサイトのサーバOSを操作できてしまう脆弱性です。「OSコマンドインジェクション」とも呼ばれており、OSが不正に操作されてしまうために、さまざまなリスクがあります。情報漏洩やマルウェア感染、ファイルの改ざんだけでなく、サーバ自体を乗っ取られてDDoS攻撃に利用されてしまうケースもあります。
コマンドインジェクションの対策
コマンドインジェクションの対策方法は、インジェクション全般に共通するサニタイジング(スクリプトの無害化)や入力値の制限、WAF(Web Application Firewall)だけではありません。
WebサイトやWebアプリの開発設計時の対策が効果的です。APIのようにOSコマンド以外の方法での実装により、大きくリスクを低減できます。しかし選択した「別の方法」にはコマンドインジェクションではない別の脆弱性が存在するリスクがあるため、代替方法を検討する際には機能だけでなくセキュリティ面の注意も必要です。
