情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問15: Webアプリケーションの脆弱性を悪用する攻撃手法のうち，Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し

問題本文

Webアプリケーションの脆弱性を悪用する攻撃手法のうち，Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し，不正にシェルスクリプトや実行形式のファイルを実行させるものは，どれに分類されるか。

選択肢

• ア.HTTPヘッダインジェクション
• イ.OSコマンドインジェクション
• ウ.クロスサイトリクエストフォージェリ
• エ.セッションハイジャック

正解

イ. OSコマンドインジェクション

解説

OSコマンドインジェクションは、外部プログラムを呼び出す関数（systemやexec等）に利用者入力をそのまま渡す不備を突き、攻撃者が任意のOSコマンドを実行させる攻撃。サーバ乗っ取りに直結する。イが正解。実務ではシェルを介さない安全なAPI利用や入力の厳格な検証・エスケープで防ぐ。

選択肢ごとの解説

• ア.改行注入でヘッダを偽装するのはHTTPヘッダインジェクションで、OSコマンド実行とは異なり誤り。
• イ.exec等を悪用しシェルや実行ファイルを不正実行させる本問はOSコマンドインジェクションそのもので正しい。
• ウ.利用者の意図しないリクエストを送らせるのはCSRFで、コマンド実行の脆弱性とは異なり誤り。
• エ.セッションIDを奪う攻撃はセッションハイジャックで、外部コマンド実行とは無関係であり誤り。