情報セキュリティマネジメント試験 過去問解説
ディレクトリトラバーサルとは?情報セキュリティマネジメント試験 平成29年度春期 午前 問23を解説
情報セキュリティマネジメント試験 平成29年度春期 午前 問23は、ディレクトリトラバーサルに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
ディレクトリトラバーサル攻撃に該当するものはどれか。
この問題の出題ポイント
- ディレクトリトラバーサルの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
- イ攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。正解
- ウ攻撃者が,利用者をWebサイトに誘導した上で,Webアプリケーションによる HTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
- エセッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
正解
イ: 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
解説
本問はディレクトリトラバーサル攻撃の特徴を問う。ディレクトリトラバーサル攻撃は、ファイルのパス名に「../」などの相対パスを混入させ、本来公開されていない上位ディレクトリのファイルに不正アクセスする手口である。正解はイで、パス名を使って意図しないファイルを不正に閲覧する記述がこれに該当する。
なぜ他の選択肢が違うのか
ア
誤り。入力データに命令文を混ぜて意図しないSQLを実行させるのはSQLインジェクションの説明である。
イ(正解)
正しい。パス名を悪用して管理者の意図しないファイルを不正に閲覧するのがディレクトリトラバーサル攻撃である。
ウ
誤り。HTML出力のエスケープ不備を突き利用者のブラウザでスクリプトを実行させるのはクロスサイトスクリプティング(XSS)である。
エ
誤り。利用者のセッションIDを盗んでなりすますのはセッションハイジャックの説明である。
解き方の整理
ディレクトリトラバーサルの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。