情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅱ 問13: Web アプリケーションの脆弱性を悪用する攻撃手法のうち，Web ページ上で入力した文字列が Perl の system 関数や PHP の exec 関数など

問題本文

Web アプリケーションの脆弱性を悪用する攻撃手法のうち，Web ページ上で入力した文字列が Perl の system 関数や PHP の exec 関数などに渡されることを利用し，不正にシェルスクリプトを実行させるものは，どれに分類されるか。

選択肢

• ア.HTTP ヘッダインジェクション
• イ.OS コマンドインジェクション
• ウ.クロスサイトリクエストフォージェリ
• エ.セッションハイジャック

正解

イ. OS コマンドインジェクション

解説

入力文字列がsystemやexecなどOSのコマンドを実行する関数に渡る経路を悪用し、攻撃者の意図したシェルコマンドを実行させる攻撃はOSコマンドインジェクションに分類される。イが正解。原因は入力値をそのままコマンド文字列に組み込む実装で、対策はシェルを介さないAPI使用や入力値の厳格な検証・エスケープ。実務ではサーバ乗っ取りに直結し得る重大な脆弱性として扱う。

選択肢ごとの解説

• ア.HTTPヘッダインジェクションは改行を注入しレスポンスヘッダを操作する攻撃で、シェルコマンド実行とは異なり誤り。
• イ.入力がsystem/exec等に渡りシェルコマンドを不正実行させる攻撃はOSコマンドインジェクションに分類され、正解。
• ウ.CSRFは利用者のセッションを悪用し意図しない操作を強制する攻撃で、OSコマンド実行の手口ではないので誤り。
• エ.セッションハイジャックはセッションIDを奪い成りすます攻撃で、コマンド実行を狙う本問の分類には当たらず誤り。