問題
ディレクトリトラバーサル攻撃に該当するものはどれか。
選択肢
- 1Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,想定外の SQL 文を実行させる。
- 2Web サイトに利用者を誘導した上で,Web アプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し,利用者のブラウザで悪意のあるスクリプトを実行させる。
- 3セッション ID によってセッションが管理されるとき,ログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてアクセスする。
- 4パス名を含めてファイルを指定することによって,管理者が意図していないファイルを不正に閲覧する。
正解
4. パス名を含めてファイルを指定することによって,管理者が意図していないファイルを不正に閲覧する。
詳しい解説を見る解説を閉じる
解説
ディレクトリトラバーサルは,相対パス(../ など)を含むファイル名を入力して本来アクセスできない上位ディレクトリのファイルを不正に参照・操作する攻撃です。アは SQL インジェクション,イはクロスサイトスクリプティング,ウはセッションハイジャックの説明です。(出典: 平成26年度 秋期 基本情報技術者試験 午前 問44)
一問一答
科目A 180問+科目B 60問