OSコマンドインジェクション攻撃とは、Webサイトにおいてユーザーから入力された文字列に、サーバーのOSに命令を与えるコマンドを埋め込み、データの削除や破損、また漏洩を促すなどを行えるサイバー攻撃のことを示します。
この攻撃を受けてしまう原因として、Webアプリケーションの実装の設計に問題があり、入力されたデータをパラメータで直接サーバーのデータを操作できる実装になっているためです。
OSコマンドインジェクション攻撃による事例として、登録ユーザーの個人情報を管理しているデータベースに対して攻撃を行い、個人情報を漏洩させた事件が報告されております。
このサイバー攻撃を防ぐためには、外部ファイルを直接呼び出さない、内部でシェルを実行しない関数を利用する等のコーディングにするなどの対処策を実施することが大切です。