OSコマンドインジェクションでは、さまざまなOSコマンドが攻撃に悪用されます。前述の例も含めて、悪用される代表的なOSコマンドをまとめました。
ファイル操作系のOSコマンドが主に用いられることがわかります。
コマンド名 主な機能
ls または dir フォルダの内容を表示する
cat ファイルの内容を表示する
rm または del ファイルを削除する
chmod ファイルの権限を変更する
mv ファイルやフォルダを移動または名称変更する
echo データをファイル出力する
web入力フォームに何か不正な文字やプログラムを入力することによってパスワード等が丸見えになってしまうようなことができるのでは?と以前から思っていた。
それがOSインジェクションというものらしい。
SQLインジェクションとは似て非なるものとのことだが、やっていることはほぼ同じことだと思うのは俺だけじゃないはず。
※その他→
URLパラメーター改竄攻撃
【追伸】ちなみに今、この記事を書いていて閃いたのだが、AutoCADなど高額アプリのインストールやアクティベーション時にIDやパスワード等を入力するのだが、その入力フォームに対してもOSインジェクションみたいなことができるんじゃないか?と思った。
昔ながらの方法でブルートフォースアタックとか辞書攻撃とか力技で時間をかけて総当たりするのもありかと思うが、めんどくさがり屋の俺としては、一撃でパスワードを破る方法はないものか?と思っていた。
