情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問12: Web アプリケーションの脆弱性を悪用する攻撃手法のうち,Web ページ上で入力した文字列が Perl の system 関数や PHP の exec 関数など
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
Web アプリケーションの脆弱性を悪用する攻撃手法のうち,Web ページ上で入力した文字列が の system 関数や PHP の exec 関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
問題本文
Web アプリケーションの脆弱性を悪用する攻撃手法のうち,Web ページ上で入力した文字列が Perl の system 関数や PHP の exec 関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
選択肢
- ア.HTTP ヘッダインジェクション
- イ.OS コマンドインジェクション
- ウ.クロスサイトリクエストフォージェリ
- エ.セッションハイジャック
解説
入力文字列がsystemやexecなどのシェル実行関数へ渡され、不正なシェルコマンドが実行される攻撃はOSコマンドインジェクションに分類される。よってイが正解。HTTPヘッダインジェクションは応答ヘッダへの改行混入、CSRFは正規利用者を悪用した強制操作、セッションハイジャックはセッション乗っ取りで別物。対策は外部入力をシェルに渡さない、API/エスケープの利用。
選択肢ごとの解説
- ア.HTTPヘッダインジェクションは改行を混入させ応答ヘッダを操作する攻撃で、シェル実行とは異なる。
- イ.入力がシェル実行関数へ渡され不正コマンドが実行される攻撃でOSコマンドインジェクションが正解。
- ウ.CSRFは利用者のセッションを悪用して意図しない操作をさせる攻撃で、コマンド実行とは別。
- エ.セッションハイジャックはセッションを乗っ取る攻撃で、シェルコマンド実行の分類ではない。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問12