コマンド インジェクションとは、攻撃者が Webapplicationsのユーザー入力フィールドにシステム コマンドを悪意を持って挿入し、基盤となるオペレーティング システム (OS) を操作して侵害する攻撃方法を指します。 意図しないコマンド シーケンスを通常のユーザー入力に埋め込むことで、攻撃者は不正な OS レベルの制御を取得し、機密情報の漏洩、システム ファイルの変更または削除、マルウェア感染 (ウイルスなど)、または他のシステムへのさらなるサイバー攻撃を開始するためのプラットフォームとしての悪用など、深刻な結果を招く可能性があります。
次の例を考えてみましょう: スクリプトは、ユーザーが入力した電子メール アドレスによってトリガーされるコマンド「/usr/sbin/sendmail user@f5.com」を実行します。 攻撃者が「user@f5.com ; rm -rf /」などの悪意のある入力を行った場合、このコマンドは望ましくないシステムレベルの操作(この例では、サーバーのルート ディレクトリ上のファイルの再帰的な削除)を実行する可能性があります。
コマンド インジェクション攻撃を防ぐには、applicationsはユーザーが提供する入力を厳密にサニタイズまたはフィルタリングし、有害な文字やコマンドを提供しようとする試みを削除または無効化する必要があります。 ただし、すべての Webapplicationsにわたって包括的かつ一貫した入力サニタイズを実行することは、大きな困難を伴います。 このセキュリティ上の脅威に対する効果的な解決策としては、ユーザー入力を検証してサニタイズし、悪意のあるペイロードをブロックするように特別に設計された Webapplicationファイアウォール (WAF) テクノロジを導入することが挙げられます。
F5 は、F5 BIG-IP製品ラインを通じて強力な WAF 機能を提供し、コマンド インジェクションやその他の高度な Webapplication攻撃に対する保護を実現します。