"OSコマンドインジェクション (Tiêm lệnh hệ điều hành)" là một セキュリティホール(Lỗ hổng bảo mật) trong アプリケーション(Ứng dụng) khi đầu vào từ bên ngoài được sử dụng để thực thi lệnh hệ điều hành (OS) mà không được xử lý đúng cách, cho phép kẻ tấn công thực thi các lệnh hệ điều hành tùy ý. Lợi dụng lỗ hổng này, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống, 改ざん(Sửa đổi trái phép) hoặc xóa dữ liệu, hoặc lấy thông tin nhạy cảm.

Đặc điểm:
・Xử lý đầu vào không đúng cách: Xảy ra khi ứng dụng không kiểm tra đầu vào từ người dùng một cách cẩn thận và thực thi nó như một lệnh hệ điều hành.
・Rủi ro cao: Kẻ tấn công có thể thực hiện lệnh tùy ý trên hệ thống, gây nguy cơ lớn cho toàn bộ hệ thống.
・Phạm vi ảnh hưởng: Có thể gây ra thay đổi dữ liệu, rò rỉ thông tin, hoặc ngừng dịch vụ.

Ví dụ tấn công:
・Ứng dụng web nhận tên tệp và thực thi lệnh hệ điều hành, kẻ tấn công nhập tên tệp chứa lệnh độc hại, gây ra việc thực thi lệnh không mong muốn.
・Tiêm lệnh vào các script quản lý hệ thống, nối lệnh và thực thi chúng.

Phương pháp phòng ngừa:
・バリデーション(Validation) và サニタイジング(làm sạch dữ liệu): Kiểm tra cẩn thận đầu vào từ người dùng, loại bỏ hoặc thoát ký tự và lệnh không được phép.
・Sử dụng API an toàn: Sử dụng các API an toàn không cần sử dụng シェル(Shell) để thực hiện các cuộc gọi hệ thống.
・Nguyên tắc tối thiểu quyền hạn: Cung cấp quyền hạn tối thiểu cần thiết cho các quy trình hoặc tài khoản người dùng để giảm thiểu thiệt hại.

OSコマンドインジェクション (Tiêm lệnh hệ điều hành) là một phương pháp tấn công rất nguy hiểm vì nó cho phép kẻ tấn công thực hiện các thao tác mạnh mẽ trên hệ thống. Do đó, các nhà phát triển cần phải thực hiện xác thực đầu vào đúng cách và áp dụng các phương pháp lập trình an toàn.