必ず受かる情報処理技術者試験

当サイトは、情報処理技術者試験に合格するためのWebサイトです。
ITパスポート試験,基本情報技術者,応用情報技術者,高度試験の過去問題と解答及び詳細な解説を掲載しています。
  1. トップページ
  2. 応用情報技術者
  3. 平成24年度春季問題一覧
  4. 平成24年度春季問題43-解答・解説-分析

平成24年度春季問題

問題43

Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。

OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。
SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を利用する。
クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。

Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。

OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。
SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を利用する。
クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。

解答:イ

<解説>

× セッションハイジャックを防ぐための対策である。
バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能である。SQLインジェクションを防ぐために用いる。
× ディレクトリトラバーサル攻撃を防ぐための対策である。
× OSコマンドインジェクションを防ぐための対策である。