基本情報技術者試験 平成29年度 秋期 午前 問39「SQLインジェクション攻撃の説明はどれか。…」の正解と解説です。基本情報技術者試験の「攻撃手法」分野の過去問で、これまでの受験者の正答率は約42%です。
ア. Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力して,データベースのデータを不正に取得したり改ざんしたりする攻撃
正答率 42.2%(460人中 194人が正解)
SQLインジェクションは入力値検証不備のWebアプリに悪意あるSQL文断片を送り込み、DBの不正アクセス/改ざんを行う攻撃です。