外部コマンド攻撃 : PHP

Pocket

外部コマンド実行攻撃とはプログラム実行系関数(system,exec,passthruなど)の引数として外部リクエストを利用する場合に、不正なコマンドを混ぜて送信され、サーバを不正に操作されることです。

system関数
外部プログラムを実行し、出力を表示する。
exec関数
外部コマンドを実行する。
passhru関数
引数で指定されたコマンドを実行する。

外部コマンド実行攻撃は非常に危険度が高いため、外部リクエストを何らかの形で関数に渡す設計は行うべきではない。escapshellcmd
関数での対策は漏れが発生する可能性があるので、どうしても利用する場合は外部リクエストをホワイトリストによって制限する必要がある。

コメント

No comments yet.

コメントの投稿

改行と段落タグは自動で挿入されます。
メールアドレスは表示されません。