基本情報技術者講座
★ 猫本 8-03 サイバー攻撃(その2) ★
基本情報技術者 平成28年度春期 問37
SQLインジェクション攻撃の説明として,適切なものはどれか。
ア | Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除をする攻撃 |
イ | Webサイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする攻撃 |
ウ | 確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする攻撃 |
エ | 攻撃者が罠を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす攻撃 |
解説
(頭の準備体操)
SQLインジェクション攻撃:悪意のある問合せや操作を行う命令文を注入して,データベースを不正に操作する攻撃
ア | SQLインジェクション攻撃(正解) |
イ | Dos攻撃/DDos攻撃 |
ウ | バッファオーバフロー攻撃 |
エ | クロスサイトスクリプティング攻撃 |
解答
ア
基本情報技術者 平成29年度秋期 問39
SQLインジェクション攻撃の説明はどれか。
ア | Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力して,データベースのデータを不正に取得したり改ざんしたりする攻撃 |
イ | 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃 |
ウ | 市販されているDBMSの脆弱性を利用することによって,宿主となるデータベーサーバを探して自己伝染を繰り返し,インターネットのトラフィックを急増させる攻撃 |
エ | 訪問者の入力データをそのまま画面に表示するWebサイトに対して,悪意のあるスクリプトを埋め込んだ入力データを送ることによって,訪問者のブラウザで実行させる攻撃 |
解説
(頭の準備体操)
SQLインジェクション攻撃:悪意のある問合せや操作を行う命令文を注入して,データベースを不正に操作する攻撃
ア | SQLインジェクション攻撃(正解) |
イ | クロスサイトリクエストフォージェリ攻撃 |
ウ | ワームの感染 |
エ | クロスサイトスクリプティング攻撃 |
解答
ア
基本情報技術者 平成30年度春期 問41
SQLインジェクション攻撃を防ぐ方法はどれか。
ア | 入力中の文字が,データベースへの問合せや操作において,特別な意味をもつ文字として解釈されないようにする。 |
イ | 入力にHTMLタグが含まれていたら,HTMLタグとして解釈されない他の文字列に置き換える。 |
ウ | 入力に上位ディレクトリを指定する文字(../)を含むときは受け付けない。 |
エ | 入力の全体の長さが制限を超えているときは受け付けない。 |
解説
(頭の準備体操)
SQLインジェクション攻撃:悪意のある問合せや操作を行う命令文を注入して,データベースを不正に操作する攻撃
ア | SQLインジェクション攻撃を防ぐ方法(正解) |
イ | クロスサイトスクリプティング攻撃を防ぐ方法 |
ウ | ディレクトリトラバーサル攻撃を防ぐ方法 |
エ | バッファオーバフロー攻撃を防ぐ方法 |
解答
ア