問題
SQL インジェクション攻撃の説明として、適切なものはどれか。
選択肢
- 1Web アプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正取得、改ざん及び削除をする攻撃
- 2Web サイトに対し、他のサイトを介して大量のパケットを送り付け、そのネットワークトラフィックを異常に高めてサービスを提供不能にする攻撃
- 3確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって、プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする攻撃
- 4攻撃者が仕組んだ Web ページを利用者が閲覧し、当該ページ内のリンクをクリックしたときに、不正スクリプトを含む文字列が脆弱な Web サイトに送り込まれ、レスポンスに埋め込まれた不正スクリプトの実行によって、情報漏えいをもたらす攻撃
正解
1. Web アプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正取得、改ざん及び削除をする攻撃
詳しい解説を見る解説を閉じる
解説
SQL インジェクションは、Web アプリケーションがデータベースへ発行する SQL 文の組立てに不備がある場合に、入力欄へ悪意のある文字列を送り込んで SQL 文を改ざんし、データの不正取得・改ざん・削除を行う攻撃である。よって「ア」が正しい。イは DDoS、ウはバッファオーバフロー、エはクロスサイトスクリプティングの説明である。(出典: 平成28年度 春期 基本情報技術者試験 午前 問37)
一問一答
科目A 180問+科目B 60問