- トップページ
- 応用情報技術者
- 平成24年度春季問題一覧
- 平成24年度春季問題43-解答・解説-分析
平成24年度春季問題
問題43
Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
| ア | OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。 |
| イ | SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を利用する。 |
| ウ | クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。 |
| エ | セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。 |
Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
| ア | OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。 |
| イ | SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を利用する。 |
| ウ | クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。 |
| エ | セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。 |
解答:イ
<解説>
| ア | × | セッションハイジャックを防ぐための対策である。 |
| イ | ○ | バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能である。SQLインジェクションを防ぐために用いる。 |
| ウ | × | ディレクトリトラバーサル攻撃を防ぐための対策である。 |
| エ | × | OSコマンドインジェクションを防ぐための対策である。 |
お問い合わせ
