応用情報技術者試験 応用情報技術者試験 平成30年度春期 午前 問38: ディレクトリトラバーサル攻撃はどれか。

問題本文

ディレクトリトラバーサル攻撃はどれか。

選択肢

• ア.OS コマンドを受け付けるアプリケーションに対して，攻撃者が，ディレクトリを作成する OS コマンドの文字列を入力して実行させる。
• イ.SQL 文のリテラル部分の生成処理に問題があるアプリケーションに対して，攻撃者が，任意の SQL 文を渡して実行させる。
• ウ.シングルサインオンを提供するディレクトリサービスに対して，攻撃者が，不正に入手した認証情報を用いてログインし，複数のアプリケーションを不正使用する。
• エ.入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して，攻撃者が，上位のディレクトリを意味する文字列を入力して，非公開のファイルにアクセスする。

正解

エ. 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して，攻撃者が，上位のディレクトリを意味する文字列を入力して，非公開のファイルにアクセスする。

解説

ディレクトリトラバーサル攻撃は、入力された文字列からアクセスするファイルのパスを組み立てるアプリケーションに対し、上位ディレクトリを示す「..」(相対パス)などを含む文字列を入力して、本来公開していない上位階層のファイルへ不正にアクセスする攻撃である。これを述べたエが正解。

選択肢ごとの解説

• ア.OSコマンドの文字列を入力して実行させるのはOSコマンドインジェクションの説明であり、ディレクトリトラバーサルではない。
• イ.任意のSQL文を渡して実行させるのはSQLインジェクションの説明であり、ディレクトリトラバーサルではない。
• ウ.不正入手した認証情報でシングルサインオンを悪用するのは不正ログイン(なりすまし)の説明であり、ディレクトリトラバーサルではない。
• エ.「..」などの上位ディレクトリ文字列を入力して非公開ファイルにアクセスするのがディレクトリトラバーサル攻撃であり、正しい。