選択肢
- ア.攻撃者が,Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していない SQL 文を実行させる。
- イ.攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
- ウ.攻撃者が,利用者を Web サイトに誘導した上で,Web アプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し,利用者の Web ブラウザで悪意のあるスクリプトを実行させる。
- エ.セッション ID によってセッションが管理されるとき,攻撃者がログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてサーバにアクセスする。
正解
イ. 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
解説
ディレクトリトラバーサル攻撃は、パス名 (../ 等) を使って許可されていないファイルを不正閲覧する攻撃。イが正解。
選択肢ごとの解説
- ア.命令文を入力して SQL を実行させるのは SQL インジェクション。
- イ.パス名でファイル指定して不正閲覧。ディレクトリトラバーサルの定義で正解。
- ウ.HTML 出力経由でスクリプトを実行させるのは XSS。
- エ.セッション ID を不正取得するのはセッションハイジャック。
基本情報技術者試験 平成29年度 春期 午前 の過去問一覧へ戻る・問37