平成29年 春期 基本情報技術者 午前 問37

ディレクトリトラバーサル攻撃に該当するものはどれか。

 ア  攻撃者が、Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、管理者の意図していないSQL文を実行させる。
 イ  攻撃者が、パス名を使ってフィルを指定し、管理者の意図していないファイルを不正に閲覧する。
 ウ  攻撃者が、利用者をWebサイトに誘導した上で、WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスクリプトを実行させる。
 エ  セッションIDによってセッションが管理されるとき、攻撃者がログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてサーバにアクセスする。


答え イ


解説

 ア  SQLインジェクション攻撃の説明です。
 イ  ディレクトリトラバーサル攻撃の説明です。
 ウ  クロスサイトスクリプティング攻撃の説明です。
 エ  セッションハイジャック攻撃の説明です。


キーワード
・ディレクトリトラバーサル攻撃

キーワードの解説
  • ディレクトリトラバーサル攻撃(directory traversal attack)
    Webシステムなどで、利用者が入力したデータの検証(無毒化)が不十分なために、ファイルシステムのディレクトリの横断を示すような文字(“../”など)がすり抜けてしまい、本来アクセスを許可しないファイルへのアクセスが行われることです。

もっと、「ディレクトリトラバーサル攻撃」について調べてみよう。

戻る 一覧へ 次へ