選択肢
- ア.Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力して,データベースのデータを不正に取得したり改ざんしたりする攻撃
- イ.悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
- ウ.市販されているDBMSの脆弱性を悪用することによって,宿主となるデータベースサーバを探して感染を繰り返し,インターネットのトラフィックを急増させる攻撃
- エ.訪問者の入力データをそのまま画面に表示するWebサイトを悪用して,悪意のあるスクリプトを訪問者のWebブラウザで実行させる攻撃
正解
ア. Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力して,データベースのデータを不正に取得したり改ざんしたりする攻撃
解説
SQLインジェクションは入力値検証不備のWebアプリに悪意あるSQL文断片を送り込み、DBの不正アクセス/改ざんを行う攻撃です。
選択肢ごとの解説
- ア.SQL命令注入でDB不正操作=SQLインジェクションの定義。
- イ.これはCSRF/XSS系の説明。
- ウ.これはSQL Slammer 等のワーム攻撃の説明。
- エ.これは反射型XSSの説明。
基本情報技術者試験 平成29年度 秋期 午前 の過去問一覧へ戻る・問39