オペレーティングシステムのコマンドインジェクション (タイミング攻撃)

critical Web App Scanning プラグイン ID 98124

Language:

概要

説明

Web アプリケーション内から特定のアクションを実行するために、オペレーティングシステムコマンドを実行し、これらのコマンドの出力を Web アプリケーションでキャプチャしてクライアントに返す必要がある場合があります。

OS コマンドインジェクションは、ユーザー指定の入力が適切にサニタイズされずにこれらのコマンドの 1 つに挿入され、サーバーによって実行されるときに発生します。

サイバー犯罪者はこの脆弱性を悪用し、サーバー上で任意のコマンドを実行します。これには、内部ネットワークをマップする簡単な「ping」コマンドから、サーバーの完全なコントロールの取得まで、すべてが含まれる可能性があります。

実行に特定の時間がかかる OS コマンドを注入することで、スキャナーは時間ベースの OS コマンド注入を検出できました。これは、入力が適切にサニタイズされていないことを示します。

ソリューション

OS が実行するコマンドを作成する際には信頼できないデータを使用しないようにすることをお勧めします。
データを検証するアプリケーションは、指定された値に、必要なアクションを実行するのに必要な文字のみが含まれていることを確認する必要があります。
たとえば、フォームフィールドに IP アドレスが必要な場合、数字とピリオドのみを受け入れる必要があります。さらに、すべてのコントロール演算子 (「＆」、「&&」、「|」、「||」、「$」、「\」、「＃」) は明示的に拒否され、サーバーによって有効な入力として絶対に受け入れられないようにする必要があります。