情報処理技術者試験ナビ

当サイトは準備中です。

SG H29春 午前 問23

◀️ 前へ次へ ▶️

 ディレクトリトラバーサル攻撃に該当するものはどれか。

  1. 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
  2. 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
  3. 攻撃者が,利用者をWebサイトに誘導した上で,WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
  4. セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。

 

答え

      イ

解説

 ディレクトリトラバーサル攻撃とは、ディレクトリをたどって、本来はアクセスが禁止されているディレクトリにアクセスする手法のことです。

  1. 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
    SQLインジェクションに該当します。
  2. 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
    正しいです。
  3. 攻撃者が,利用者をWebサイトに誘導した上で,WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
    クロスサイトスクリプティングに該当します。
  4. セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
    セッションハイジャックに該当します。