ディレクトリトラバーサル攻撃に該当するものはどれか。
- 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
- 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
- 攻撃者が,利用者をWebサイトに誘導した上で,WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
- セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
解答
イ
解説
- 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
SQLインジェクションに該当します。 - 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
正しいです。ディレクトリトラバーサル攻撃に該当します。 - 攻撃者が,利用者をWebサイトに誘導した上で,WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
クロスサイトスクリプティングに該当します。 - セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
セッションハイジャックに該当します。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | 情報セキュリティ |
出題歴
- FE 平成29年度春期 問37
