問題
ディレクトリトラバーサル攻撃の説明はどれか。
選択肢
- 1ア ファイル名に「../」等を挿入し、公開されていないディレクトリのファイルにアクセスする
- 2イ パスワードを総当たりで試す
- 3ウ DNSの応答を偽装する
- 4エ セッションIDを盗む
正解
1. ア ファイル名に「../」等を挿入し、公開されていないディレクトリのファイルにアクセスする
詳しい解説を見る解説を閉じる
解説
ディレクトリトラバーサルは、ファイル名やパスを指定できる入力に「../」(親ディレクトリへの移動)などを混入させ、本来公開を想定していないディレクトリ上のファイルへ不正にアクセスする攻撃である。設定ファイルやパスワードファイルの窃取につながる。よってアが正解である。イのパスワードを総当たりで試すのはブルートフォース攻撃、ウのDNS応答を偽装して偽サイトへ誘導するのはDNSキャッシュポイズニング、エのセッションIDを盗んで成りすますのはセッションハイジャックであり、いずれも別の攻撃手法である。頻出ポイント:対策は入力値検査で「../」などを拒否・無害化すること、ファイル名を利用者に直接指定させない設計にすることが定番の出題である。
一問一答
科目A 180問+科目B 60問