外部コマンド実行攻撃とはプログラム実行系関数(system,exec,passthruなど)の引数として外部リクエストを利用する場合に、不正なコマンドを混ぜて送信され、サーバを不正に操作されることです。
外部コマンド実行攻撃は非常に危険度が高いため、外部リクエストを何らかの形で関数に渡す設計は行うべきではない。escapshellcmd
関数での対策は漏れが発生する可能性があるので、どうしても利用する場合は外部リクエストをホワイトリストによって制限する必要がある。
No comments yet.
改行と段落タグは自動で挿入されます。
メールアドレスは表示されません。