平成30年 秋期 システムアーキテクト 午前II 問25

Webアプリケーションにおけるセキュリティ上の脅威と対策に関する記述のうち、適切なものはどれか。

 ア  OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。
 イ  SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。
 ウ  クロスサイトスクリプティングを防ぐために、Webサーバ内のファイルを外部から直接参照できないようにする。
 エ  セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。


答え イ


解説

 ア  Webアプリケーションが発行するセッションIDを推測困難なものにするのは、セッションハイジャックを防ぐためです。
 イ  Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用するのは、SQLインジェクションを防ぐためです。
 ウ  Webサーバ内のファイルを外部から直接参照できないようにするのは、ディレクトリトラバーサル攻撃を防ぐためです。
 エ  Webアプリケーションからシェルを起動できないようにするのは、OSコマンドインジェクションを防ぐためです。


キーワード
・SQLインジェクション

キーワードの解説
  • SQLインジェクション
    WWWサイトでユーザが入力した値をデータベースに問合せを行うような処理があるとき、悪意のあるユーザが指定する入力値(入力データ)にSQL文を指定することで、データベースへの不正なアクセスを行う攻撃のことです。

もっと、「SQLインジェクション」について調べてみよう。

戻る 一覧へ