問45 |
ディレクトリトラバーサル攻撃に該当するものはどれか。 |
|
ア |
Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、想定外のSQL文を実行させる。 |
イ |
Webサイトに利用者を誘導した上で、Webサイトの入力データ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスクリプトを実行させる。 |
ウ |
管理者が意図していないパスでサーバ内のファイルを指定することによって、本来は許されないファイルを不正に閲覧する。 |
エ |
セッションIDによってセッションが管理されるとき、ログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてサーバにアクセスする。 |
|
|
解説 |
ディレクトリトラサーバル攻撃とは、フォルダ名やファイル名を直接指定して不正にファイルを見る手法です。例えば『~tanaka/test/2008.txt』というファイルがあった場合に、今年度のテストを『~tanaka/test/2009.txt』であると予想し、URLに直接入力してファイルを不正に閲覧しようとする手法です。ファイル名を予想して直接アクセスするので、リンクがどこからもつながっていなくても、アクセス権限を適切にしていない場合は表示されてしまいます。
選択肢アは、SQLインジェクション攻撃の説明です。
選択肢イは、クロスサイトスクリプティングの説明です。
選択肢エは、セッションハイジャックの説明です。 |
|