OS コマンドインジェクションとは？

ウェブサーバーへのリクエストに OS へのコマンド（命令文）を紛れ込ませ、不正に実行させる攻撃方法。

攻撃による発生しうる脅威

• サーバ内ファイルの閲覧、改ざん、削除
• 不正なシステム操作
• 不正なプログラムのダウンロード、実行
• 他のシステムへの攻撃の踏み台

対策方法

• シェルを起動できる言語機能の利用を避ける。
• シェルを起動できる言語機能を利用する場合は、その引数を構成する全ての変数に対してチェックを行い、あらかじめ許可した処理のみを実行する。