基本情報技術者試験 平成28年度 春期 午前 問37「SQLインジェクション攻撃の説明として,適切なものはどれか。…」の正解と解説です。基本情報技術者試験の「攻撃手法」分野の過去問で、これまでの受験者の正答率は約40%です。
ア. Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正取得,改ざん及び削除をする攻撃
正答率 39.7%(1,255人中 498人が正解)
SQLインジェクションはWebアプリの入力検証不備を突き、悪意あるSQL断片を入力に混入してDBを不正操作する攻撃です。