Question

Web アプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち，入力した文字列が Perl の system 関数，PHP の exec 関数などに渡されることを利用し，不正にシェルスクリプトを実行させるものは，どれに分類されるか。

Accepted Answer

OS コマンドインジェクション。入力文字列をsystem関数やexec関数などに渡してOSのコマンドやシェルスクリプトを不正に実行させる攻撃は，OSコマンドインジェクションに分類されます。入力値の適切な検証・無害化が対策となります。

Answer

HTTP ヘッダインジェクション

Answer

OS コマンドインジェクション

Answer

クロスサイトリクエストフォージェリ

Answer

セッションハイジャック