資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

SC 令和5年度秋期 問1

   

 Webアプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち,入力した文字列がPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。

  1. HTTPヘッダインジェクション
  2. OSコマンドインジェクション
  3. クロスサイトリクエストフォージェリ
  4. セッションハイジャック

解答・解説

解答

 イ

解説

  1. HTTPヘッダインジェクション
    HTTPヘッダインジェクションは、HTTPリクエストをHTTPレスポンスヘッダに出力するサーバに対して、HTTPリクエストに不正なコードを入れることで、不正なヘッダを出力させる攻撃です。

  2. OSコマンドインジェクション
    正しいです。
    OSコマンドインジェクションは、OSコマンドを受け付けるアプリケーションに対して、OSコマンドの文字列を入力して実行させる攻撃です。

  3. クロスサイトリクエストフォージェリ
    クロスサイトリクエストフォージェリは、悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃です。

  4. セッションハイジャック
    セッションハイジャックは、ログイン中の利用者のセッションIDを不正に取得するなどして、セッションを乗っ取る攻撃です。

参考情報

分野・分類
分野 テクノロジ系
大分類 技術要素
中分類 セキュリティ
小分類 情報セキュリティ
出題歴
  • SC 令和5年度秋期 問1
  • NW 令和3年度春期 問21
  • SC 平成30年度秋期 問13
  • SC 平成29年度春期 問12
  • NW 平成27年度秋期 問20
  • SC 平成26年度春期 問15
  • SC 平成23年度秋期 問16

前問 一覧 次問