選択肢
- ア.Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正取得,改ざん及び削除をする攻撃
- イ.Webサイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする攻撃
- ウ.確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする攻撃
- エ.攻撃者が罠を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす攻撃
正解
ア. Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正取得,改ざん及び削除をする攻撃
解説
SQLインジェクションはWebアプリの入力検証不備を突き、悪意あるSQL断片を入力に混入してDBを不正操作する攻撃です。
選択肢ごとの解説
- ア.SQL文への文字列混入による不正DB操作=SQLインジェクションの定義。
- イ.これは DDoS 攻撃の説明です。
- ウ.これはバッファオーバーフローの説明です。
- エ.これはクロスサイトスクリプティング(XSS)の説明です。
基本情報技術者試験 平成28年度 春期 午前 の過去問一覧へ戻る・問37