⚠ サイトの改ざん・マルウェア被害にお困りの方はこちら

OSコマンドインジェクションとは

Webアプリの脆弱性

定義

利用者の入力が、サーバ上でOSコマンドの一部として実行されてしまう脆弱性です。区切り文字(; | & など)を混ぜることで追加のコマンドを実行させられます。

なぜ危険か

サーバ上で任意のコマンドを実行され、ファイルの窃取・改ざん・他サーバへの攻撃の踏み台化など、事実上の乗っ取りに至ります。

確認方法

外部コマンドを呼ばず標準APIで処理する、やむを得ない場合は引数を配列で渡しシェルを介さない実装になっているかを確認します。

あなたのサイトは大丈夫?無料でセキュリティ健診

URLを入れるだけ。登録不要で、外から見える弱点をその場でスコア表示します。

無料で健診する

このリスクを今すぐ確認

Webサイト脆弱性診断(無料)→

関連する用語

SQLインジェクションリモートコード実行ディレクトリトラバーサル
日本情報基盤サービス株式会社/JIISセキュリティラボ / www.jiis.co.jp
本ページは一般的な解説であり、個別の環境での適用は専門家にご相談ください。