SSIインジェクションやCSRFなどの新たな問題も~IPAの脆弱性届出状況
SSIインジェクションとは、入力フォームなどに悪意あるSSIコマンドを入力し、Webアプリケーション宛に送信し実行させることで、外部からOSのコマンドを実行したり、ファイルの閲覧が可能になるという。CSRFは、アクセスすると自動的にログインするサイトの仕組みを悪用して、正規利用者にとって意図しない登録内容変更や商品購入をさせてしまう。
SSIは、本blogでも多用しています。 便利な機能ですが、それなりのリスクがあるのは仕方ないですね。