情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問1: Web アプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち,入力した文字列が PHP の exec 関数などに渡されることを利用し,不正にシェルスクリ
←情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
Web アプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち,入力した文字列が PHP の exec 関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
問題本文
Web アプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち,入力した文字列が PHP の exec 関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
選択肢
- ア.HTTP ヘッダインジェクション
- イ.OS コマンドインジェクション
- ウ.クロスサイトリクエストフォージェリ
- エ.セッションハイジャック
解説
OSコマンドインジェクションは、利用者入力をexecやsystem等のOSコマンド実行関数へ検証せず渡すことで、攻撃者が任意のシェルコマンドを注入・実行する脆弱性。PHPのexec関数に渡される点はまさにこの分類で、イが正解。対策はシェル呼び出し回避や入力のエスケープ・許可リスト化。実務ではWebサーバ乗っ取りや内部侵入の起点となるため、外部入力をコマンドに含めない設計が鉄則。
選択肢ごとの解説
- ア.改行コードを注入してHTTP応答ヘッダを操作する攻撃で、シェル実行とは別物。
- イ.exec関数等にユーザー入力が渡りシェルコマンドが実行される、OSコマンドインジェクションそのもの。
- ウ.利用者の意図しない要求を別サイト経由で送らせる攻撃で、コマンド実行ではない。
- エ.セッションIDを奪い成りすます攻撃で、シェルスクリプト実行とは無関係。
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧へ戻る・問1