セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。
概要 |
---|
「OSコマンドインジェクション」とは、ユーザの入力値を元にOSコマンドの呼び出しを動的に生成しているWebサイトにおいて、攻撃者によって任意のOSコマンドを呼び出される攻撃です。
・注意を要するWebサイト メールを送信する問い合わせ機能など、ユーザから受け取った入力値を使ってOSコマンドを呼び出しているWebサイトで注意が必要です。 OSコマンドインジェクション |
脅威・発生しうるリスク |
攻撃者によってOSコマンドが実行された場合、次のような被害を受ける可能性があります。 ・攻撃のための情報収集 攻撃者によってWebサイトで使用しているソフトウェアの種類やバージョン番号、サーバ上に保存されているファイルの一覧、各ソフトウェアの設定ファイルの内容などの情報を表示するOSコマンドを実行される可能性があります。攻撃者に収集された情報は、さらなる攻撃に使用される可能性があります。 ・機密情報の漏えい 攻撃者によってファイルの内容を表示するOSコマンドを実行されると、パスワードや個人情報など、機密情報が漏えいする可能性があります。 ・管理者権限の奪取 Webサイトにて使用しているOSや他のプログラムに、管理者権限を奪取される脆弱性があった場合、攻撃者によって管理者権限が奪取される可能性があります。管理者権限を奪取された場合、システムアカウントの不正な追加・変更、OSの設定変更、バックドアのインストール、サービスの再起動や停止など、サーバの機能を完全に乗っ取られる可能性があります。 ・不正プログラムの埋め込み・実行 攻撃者によってWebサイトのコンテンツを編集するOSコマンドを実行されると、コンテンツが改ざんされ、不正なプログラムが埋め込まれる可能性があります。その場合、Webサイトが不正なプログラムを配布してしまうこととなり、サイトにアクセスしたユーザがウイルスに感染するなど被害を受ける可能性があります。 ・システムやデータの破壊・改ざん 攻撃者によってファイルを編集・削除するOSコマンドを実行されると、システムの設定ファイルやデータが破壊・改ざんされる可能性があります。システムの設定情報やデータが破壊・改ざんされると、悪意のあるサイトへの誘導、Webサイトの誤動作、Webサイトの停止などサービス提供に影響が及ぶ可能性があります。 ・他の攻撃のための踏み台 攻撃者によって他のサーバを攻撃する不正なプログラムを作られ実行される可能性があります。その場合、Webサイトを踏み台として外部の他者のサーバに意図せず攻撃をしてしまう可能性があります。また、同様にWebサイトを踏み台として、インターネットからアクセスできない内部ネットワークのサーバに対して攻撃される可能性があります。 |