情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問23: ディレクトリトラバーサル攻撃に該当するものはどれか。
←情報セキュリティマネジメント試験 平成29年度春期 午前
攻撃に該当するものはどれか。
選択肢
- ア.攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
- イ.攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
- ウ.攻撃者が,利用者をWebサイトに誘導した上で,Webアプリケーションによる HTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
- エ.セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
正解
イ. 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
解説
本問はディレクトリトラバーサル攻撃の特徴を問う。ディレクトリトラバーサル攻撃は、ファイルのパス名に「../」などの相対パスを混入させ、本来公開されていない上位ディレクトリのファイルに不正アクセスする手口である。正解はイで、パス名を使って意図しないファイルを不正に閲覧する記述がこれに該当する。
選択肢ごとの解説
- ア.誤り。入力データに命令文を混ぜて意図しないSQLを実行させるのはSQLインジェクションの説明である。
- イ.正しい。パス名を悪用して管理者の意図しないファイルを不正に閲覧するのがディレクトリトラバーサル攻撃である。
- ウ.誤り。HTML出力のエスケープ不備を突き利用者のブラウザでスクリプトを実行させるのはクロスサイトスクリプティング(XSS)である。
- エ.誤り。利用者のセッションIDを盗んでなりすますのはセッションハイジャックの説明である。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問23