How To: Command Injections - hackeroneより抜粋

Hackeroneは7月7日(米国時間)、「How To: Command Injections|HackerOne」において、Rubyスクリプトを使ってコマンドインジェクションがどのように発生するのかを説明した。コマンドインジェクションは引数や入力値、環境変数などに特定の文字列を含めることでシステム上のコマンドを実行するもので、脆弱性として悪用されることがある。

Rubyに限らず、プログラミング言語では提供している機能やライブラリのみならず、システム上のコマンドを呼び出して実行することがある。こうした機能を悪用し、入力値に任意のコマンドを含めて実行させる手口がコマンドインジェクションとなる。

記事では、Rubyスクリプトの引数に想定されているIPアドレス以外にも任意のコマンドを含める方法でコマンドインジェクションの例を紹介。どのように実行されるのか、どうすればコマンドインジェクションが実施されているのか測定する方法などを具体的に説明している。コマンドインジェクションは簡単に実施できることがあり、注意が必要。