Injection

外部からシステムコールを操作して、悪意あるコマンドを送り込む攻撃

基本的には権限の昇格を狙い、サーバ全体の探索を始める

PHPなどを使用して、バックエンドをサーバー処理しているとこの脆弱性が現れることがある

SQL Injection

外部から悪意あるSQL Queryを挿入して、DBの改変・削除・追加を行う攻撃

→個人情報の漏洩・データの露呈

基本的な防御

許可されるコマンドリストを作成しておく

送られてきたコマンドとリストを照らし合わせて実行の可不可を判定

悪意あるコマンド型をはじく

受け付けられないコマンドやオプションをあらかじめ設定しておく