問題
ディレクトリトラバーサル攻撃に該当するものはどれか。
選択肢
- 1Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,想定外の SQL を実行させる。
- 2Web サイトに利用者を誘導した上で,Web サイトの入力データ処理の欠陥を悪用し,利用者のブラウザで悪意のあるスクリプトを実行させる。
- 3管理者が意図していないファイルのパス名を直接指定することによって,本来は許されないファイルを不正に閲覧する。
- 4セッション ID によってセッションが管理され,ログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてサーバにアクセスする。
正解
3. 管理者が意図していないファイルのパス名を直接指定することによって,本来は許されないファイルを不正に閲覧する。
詳しい解説を見る解説を閉じる
解説
ディレクトリトラバーサル攻撃は,相対パス指定(../ など)を悪用して,本来アクセスを許可していないディレクトリやファイルへのパスを直接指定し,非公開ファイルを不正に閲覧・操作する攻撃である。アはSQLインジェクション,イはクロスサイトスクリプティング,エはセッションハイジャックの説明である。(出典: 平成24年度 春期 基本情報技術者試験 午前 問45)
一問一答
科目A 180問+科目B 60問