言語インジェクション

high Web App Scanning プラグイン ID 113317

Language:

概要

言語インジェクション

説明

Expression Language (EL) は、開発者にオブジェクトモデルからデータを出力する簡単な方法を提供するために、Java Server Pages Standard Tag Library (JSTL) の一部として定義されています。JSP 2.0 仕様から、Expression Language が JSP ページ内で利用可能になりましたが、次のような多くの実装にも存在しています。
- Apache Jakarta
- Struts および WebWork が使用する Object-Graph Navigation Language (OGNL)
- MVFLEX Expression Language (MVEL)
- Spring Expression Language (SPEL)

アプリケーションが安全でないユーザー制御の入力を組み込み、これが式インタープリターによって動的に評価されるときには、Expression Language Injection インジェクション (ELI) の脆弱性が存在します。

攻撃者は、アプリケーションが使用する式インタープリターに依存する特定のペイロードを注入してこの脆弱性を利用し、機密情報にアクセスしたり、ターゲットサーバー上でリモートでコードを実行したりする可能性があります。

ソリューション

悪意のあるインジェクションを防ぐために、開発者は信頼できないユーザー入力から直接派生した式の評価を回避する必要があります。アプリケーションでこのタイプの入力が依然として必要な場合は、許可リストの使用による、または特殊文字使用のフィルタリングによる、高度な式のインジェクションを回避するために、ユーザー指定のデータを厳密に検証する必要があります。