コマンドインジェクションとは【用語集詳細】
コマンドインジェクション(Command Injection)とは、サイバー攻撃の手法であるインジェクション攻撃の総称です。
攻撃者はアプリケーションの脆弱性を悪用し、不正なデータを入力しOSに渡すことで、システムの乗っ取りやコード実行などを行います。
通常、アプリケーションに対する入力に対して適切な検証やエスケープ処理・無害化などを行わない場合このような攻撃の対象となります。
コマンドインジェクションの特性は、Webアプリケーションに対する不正な入力を通じて、OSコマンド(シェル)を操作する点にあります。OWASPの定義では、影響範囲が当該アプリケーションに留まる種類の攻撃は、コード・インジェクションに分類されています。