問題
ディレクトリトラバーサル攻撃に該当するものはどれか。
選択肢
- 1攻撃者が,Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していない SQL 文を実行させる。
- 2攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
- 3攻撃者が,利用者を Web サイトに誘導した上で,Web アプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し,利用者の Web ブラウザで悪意のあるスクリプトを実行させる。
- 4セッション ID によってセッションが管理されるとき,攻撃者がログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてサーバにアクセスする。
正解
2. 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
詳しい解説を見る解説を閉じる
解説
ディレクトリトラバーサル攻撃は、"../" などを含むパス名を入力して本来アクセスできないディレクトリ・ファイルを不正に参照・取得する攻撃である。アは SQL インジェクション、ウはクロスサイトスクリプティング、エはセッションハイジャックの説明であり、いずれもパス指定による不正アクセスとは異なる。(出典: 平成29年度 春期 基本情報技術者試験 午前 問37)
一問一答
科目A 180問+科目B 60問