コードインジェクション (タイミング攻撃)

critical Web App Scanning プラグイン ID 98122

Language:

概要

説明

最新の Web アプリケーションは、いくつかの異なるプログラミング言語に依存します。

これらの言語は、2 つのフレーバーに分割される可能性があります。これらは、(JavaScript のようなブラウザで実行される言語などの) クライアント側の言語と、(ASP、PHP、JSP などのサーバーによって実行される) サーバー側の言語であり、動的ページ (クライアント側のコード) がクライアントに送信されます。

すべてのサーバーサイドコードはサーバーによって実行される必要があるため、信頼できるソースからのみ取得する必要があります。

サーバーが信頼できないコード (クライアントからのもの) を取得して実行すると、コードインジェクションが発生します。

サイバー犯罪者は、この脆弱性を悪用してサーバー上で任意のコードを実行するため、サーバーが完全に侵害される可能性があります。

実行に特定の時間がかかる既知のサーバーサイドコードを注入することで、スキャナーは時間ベースのコード注入を検出できましたこれは、入力が適切にサニタイズされていないことを示します。

ソリューション

信頼できない入力をサーバーサイドコードとして処理しないようにすることをお勧めします。
入力を検証するアプリケーションは、指定された値に、関連するアクションを実行するのに必要なデータのみが含まれていることを確認する必要があります。
たとえば、ユーザー名が必要な場合、非アルファベット文字は受け入れられないようにする必要があります。