Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア | OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。 |
イ | SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。 |
ウ | クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。 |
エ | セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。 |
答え イ
【解説】
ア | Webアプリケーションが発行するセッションIDを推測困難なものにするのは、セッションハイジャックの対策です。 |
イ | Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用するのは、SQLインジェクションの対策です。 |
ウ | 外部から渡す入力データをWebサーバ内のファイル名として直接指定しないのは、ディレクトリトラバーサルの対策です。 |
エ | Webアプリケーションからシェルを起動できないようにするのは、OSコマンドインジェクションの対策です。 |
【キーワード】
・SQLインジェクション