Web アプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち,適切なものはどれか。
- OS コマンドインジェクションを防ぐために,Web アプリケーションが発行するセッション ID に推測困難な乱数を使用する。
- SQL インジェクションを防ぐために,Web アプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。
- クロスサイトスクリプティングを防ぐために,Web サーバ内のファイルを外部から直接参照できないようにする。
- セッションハイジャックを防ぐために,Web アプリケーションからシェルを起動できないようにする。
解答
イ
解説
- OS コマンドインジェクションを防ぐために,Web アプリケーションが発行するセッション ID に推測困難な乱数を使用する。
セッションハイジャックへの対策に関する記述です。 - SQL インジェクションを防ぐために,Web アプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。
適切です。
このような仕組みをバインド機構と言います。 - クロスサイトスクリプティングを防ぐために,Web サーバ内のファイルを外部から直接参照できないようにする。
ディレクトリトラバーサル攻撃への対策に関する記述です。 - セッションハイジャックを防ぐために,Web アプリケーションからシェルを起動できないようにする。
OSコマンドインジェクションへの対策に関する記述です。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | セキュリティ実装技術 |
出題歴
- SG 令和5年度 問7
- SA 平成30年度秋期 問25
- AP 平成26年度秋期 問40
- AP 平成24年度春期 問43
