設問2 本文中の(d)に入れる適切な字句を35字以内で答えよ。
「リクエストに対するsetvalueの処理には、(d)してしまうという問題点があるので、set」
(d)では、setvalueの処理に関する問題点を問われています。
問題のあるリクエストの具体例は、図5に記載されています。
図4のリクエストと比較すると、サブネットマスクの255.255.255.0の後ろにpingコマンドが記載されています。
このリクエストをシェルが実行してしまうと、想定外のコマンドが実行されてしまいます。
これは、OSコマンドインジェクションという攻撃です。
OSコマンドインジェクションとは、ユーザからのデータ入力を受け付けるWebサイトで、入力時にシェル機能を操作する文字列を混入させることで、攻撃先サイトのOSを不正に操作する攻撃手法です。
図5で指定されているpingコマンドは、通信相手に対してネットワーク上に適切なルートが設定されているか、通信ができるかどうかの疎通確認を実施するコマンドです。
回答:シェルが実行するコマンドをパラメータで不正に指定できて
