asp.netでのリモートOSコマンドインジェクション対策について

現在asp.netでWEBサービスの開発を行っています。
無料の脆弱性チェックソフト「OWASP ZAP」を利用したところ
リモートOSコマンドインジェクションが発生する恐れがある、とアラートが出ましたが
どのように対策を行えばいいかわかりません。

そもそも一般的なasp.netのWEBサイトでリモートOSコマンドインジェクションは発生するものでしょうか？
POST値を書き換えられただけでシェルを起動及びコマンドが流れてしまうようには思えないのですが…

お詳しい方、お力をお貸しいただければと思います。
どうぞよろしくお願いいたします。

アラート例：
URL 　　　http：//xxxxx/xxxxxx.aspx
方法　　　POST
パラメータ CB0620
攻撃　　　1 "＆timeout / T 15＆"

該当箇所とは別ですが画像です。

2019/12/23 06:05

これだけでは答えようがないと思います。当該のソースコードを示していただくとかしないと。CB0620パラメータでは何をしていますか?

2019/12/23 06:08

ZAPの当該の指摘箇所の画面キャプチャーを掲載いただけますか?

2019/12/23 06:41

画像を追記いたしました。実際のWEBページのことでしたら業務上画像を張ることが出来ません、申し訳ありません。

行動規範の内容に同意します

回答1件

ベストアンサー

当該パラメータにAttackの値を手で入れてみて、15秒待ちが発生すればOSコマンドインジェクション、直ちに返ってきたら「OSコマンドインジェクションとは判定されない」（ないとも断言できない）かと思います。

投稿2019/12/23 06:57

総合スコア11701

2019/12/23 07:13

手で入力して実行してみたところ15秒の待ちは発生していないようです。とりあえず未確認で進めていこうと思います。回答ありがとうございました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問