情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ 問15: ディレクトリトラバーサル攻撃はどれか。
←情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ
攻撃はどれか。
選択肢
- ア.OSの操作コマンドを利用するアプリケーションに対して,攻撃者が,OSのディレクトリ作成コマンドを渡して実行する。
- イ.SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して,攻撃者が,任意のSQL文を渡して実行する。
- ウ.シングルサインオンを提供するディレクトリサービスに対して,攻撃者が,不正に入手した認証情報を用いてログインし,複数のアプリケーションを不正使用する。
- エ.入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して,攻撃者が,上位のディレクトリを意味する文字列を入力して,非公開のファイルにアクセスする。
正解
エ. 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して,攻撃者が,上位のディレクトリを意味する文字列を入力して,非公開のファイルにアクセスする。
解説
ディレクトリトラバーサル攻撃は、ファイル名を入力から組み立てるアプリに対し「../」など上位ディレクトリを示す文字列を与え、本来公開していないファイルへ不正アクセスする手法。エが該当する。対策は入力値の検証やパスの正規化、ファイルアクセス権の最小化。Webアプリで頻出の脆弱性であり、ユーザ入力をそのままパスに使わない設計が重要である。
選択肢ごとの解説
- ア.OSコマンドを注入して実行させるOSコマンドインジェクションの説明で、パス遡上ではなく誤り。
- イ.任意のSQL文を注入するSQLインジェクションの説明であり、ディレクトリトラバーサルではなく誤り。
- ウ.盗んだ認証情報でSSOに不正ログインする攻撃の説明で、パス文字列による不正アクセスではなく誤り。
- エ.「../」等の上位ディレクトリ指定で非公開ファイルへアクセスする、ディレクトリトラバーサルの定義どおりで正しい。
情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅰ の過去問一覧へ戻る・問15