問題
ディレクトリトラバーサル攻撃とは何か。
選択肢
- 1パスに「../」を含め公開外のファイルにアクセス
- 2パスワード総当たり
- 3DNS偽装
- 4セッションID窃取
正解
1. パスに「../」を含め公開外のファイルにアクセス
詳しい解説を見る解説を閉じる
解説
ディレクトリトラバーサルは、ファイル名を指定する入力パラメータに「../」(親ディレクトリへの移動)などを含め、本来公開を想定していないディレクトリのファイルへ不正にアクセスする攻撃である。設定ファイルやパスワードファイルの窃取につながる。対策は入力値の検証(バリデーション)でパス指定文字を排除すること、およびWebサーバのアクセス権限を必要最小限にすることである。誤答のパスワード総当たりはブルートフォース攻撃、DNS偽装はDNSキャッシュポイズニング、セッションID窃取はセッションハイジャックに該当し、いずれもパス操作とは無関係である。基本情報では「../」という文字列が出たらこの攻撃と判断できるようにしたい。
一問一答
科目A 180問+科目B 60問