ITパスポート試験 ITパスポート 2026年 (令和8年) 問70: SQLインジェクション攻撃の説明として,最も適切なものはどれか。

問題本文

SQLインジェクション攻撃の説明として,最も適切なものはどれか。

選択肢

• ア.Webサイトに悪意のあるスクリプトを埋め込み,他の利用者のブラウザで実行させる攻撃。
• イ.Webアプリケーションの入力欄に不正なSQL文を入力し,データベースを不正に操作する攻撃。
• ウ.大量のリクエストを送りつけてWebサーバを過負荷にし,サービスを停止させる攻撃。
• エ.通信経路に割り込み,送受信データを盗聴・改ざんする攻撃。

正解

イ. Webアプリケーションの入力欄に不正なSQL文を入力し,データベースを不正に操作する攻撃。

解説

SQLインジェクションはWebアプリケーションの入力欄に不正なSQL文を入力しDBを不正参照・改ざん・削除する攻撃.プレースホルダや入力値検証が対策.

選択肢ごとの解説

• ア.XSS (クロスサイトスクリプティング) の説明. 悪意スクリプト埋込.
• イ.正しい. 入力欄へのSQL文注入でDB不正操作がSQLインジェクション.
• ウ.DoS/DDoS攻撃の説明. 大量リクエストでサーバを過負荷.
• エ.中間者攻撃 (MITM) の説明. 通信経路で盗聴・改ざんを行う.