Webアプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のうち、適切なものはどれか。
| ア | OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDに推測困難な乱数を使用する。 |
| イ | SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。 |
| ウ | クロスサイトスクリプティングを防ぐために、Webサーバ内のファイルを外部から直接参照できないようにする。 |
| エ | セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。 |
答え イ
【解説】
| ア | Webアプリケーションが発行するセッションIDに推測困難な乱数を使用するのは、セッションハイジャックを防ぐためです。(×) |
| イ | Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用するのは、SQLインジェクションを防ぐためです。(〇) |
| ウ | Webサーバ内のファイルを外部から直接参照できないようにするのは、ディレクトリトラバーサル攻撃を防ぐためです。(×) |
| エ | Webアプリケーションからシェルを起動できないようにするのは、OSコマンドインジェクションを防ぐためです。(×) |
【キーワード】
・SQLインジェクション
- SQLインジェクション
Webサイトでユーザーが入力した値をデータベースに問合せを行うような処理があるとき、悪意のあるユーザーが指定する入力値(入力データ)にSQL文を指定することで、データベースへの不正なアクセスを行う攻撃のことです。
もっと、「SQLインジェクション」について調べてみよう。
戻る
一覧へ
次へ