Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - Flatt Security Blog

2024/06/24 17 users セキュリティエンジニア ryotak rust Ruby 言語

※本記事は筆者RyotaKが英語で執筆した記事を社内で日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対す... 続きを読む

SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog

2024/03/28 20 users 本稿 OWASP TOP 文書 発生原理 Webセキュリティ

こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より... 続きを読む

日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ～JVNが注意喚起／コマンドインジェクションなど3件。深刻度の評価は「CVSS v3」の基本値で最大「9.8」

2022/10/20 8 users JVN 深刻度 注意喚起 脆弱性 複数

続きを読む

OS コマンドインジェクション その危険性と対策 | yamory Blog

2020/06/05 26 users OS コマンドインジェクション yamory Blog

OS コマンドインジェクション（OS Command Injection） は、オペレーティングシステムのコマンドを不正に実行できてしまう脆弱性および攻撃手法です。 コマンド注入攻撃、コマンドインジェクションとも呼ばれます。 Web アプリケーションのコードに OS コマンドの呼び出し処理があり、ユーザーが入力したデータがコマン... 続きを読む

高度なコマンドインジェクション攻撃とその対策 - WAF Tech Blog ｜ クラウド型 WAFサービス Scutum 【スキュータム】

2020/03/19 19 users Scutum スキュータム WAFサービス クラウド型 対策

注意事項 この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対しコマンドインジェクションを実施する行為は場合によっては犯罪行為となりますので絶対に行わないでください。 はじめに Scutumは... 続きを読む

JVNVU#94858949: 複数の NETGEAR 製ルータにコマンドインジェクションの脆弱性

2016/12/12 84 users NETGEAR ファームウェア ルータ 脆弱性 http

R8000 ファームウェア 1.0.3.4_1.1.2 およびそれ以前 R7000 ファームウェア 1.0.7.2_1.1.93 およびそれ以前 R6400 ファームウェア 1.0.1.6_1.0.4 およびそれ以前 これら以外の製品も本脆弱性の影響を受ける可能性があるとのことです。 コマンドインジェクション ( CWE-77 ) LAN 内の攻撃者 が、http://<router_IP>/cg... 続きを読む