選択肢
- ア.Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,想定外のSQL文を実行させる。
- イ.Webサイトに利用者を誘導した上で,Webアプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し,利用者のブラウザで悪意のあるスクリプトを実行させる。
- ウ.セッションIDによってセッションが管理されるとき,ログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
- エ.パス名を含めてファイルを指定することによって,管理者が意図していないファイルを不正に閲覧する。
正解
エ. パス名を含めてファイルを指定することによって,管理者が意図していないファイルを不正に閲覧する。
解説
ディレクトリトラバーサル攻撃は ../ などを用いて公開意図のないディレクトリ階層を辿り、本来アクセスできないファイル(/etc/passwd など)を取得しようとする攻撃です。
選択肢ごとの解説
- ア.SQLインジェクションの説明です。
- イ.クロスサイトスクリプティング(XSS)の説明です。
- ウ.セッションハイジャックの説明です。
- エ.相対パスでディレクトリを遡り意図外ファイルを閲覧する=ディレクトリトラバーサルの典型です。
基本情報技術者試験 平成26年度 秋期 午前 の過去問一覧へ戻る・問44