- トップページ
- 応用情報技術者
- 平成29年度春季問題一覧
- 平成29年度春季問題44-解答・解説-分析
平成29年度春季問題
問題44
攻撃にHTTP over TLS(HTTPS)が使われた場合に起こり得ることはどれか。
| ア | HTTPSを使ったSQLインジェクション攻撃を受けると、Webアプリケーションでデータベースへの不正な入力をチェックできないので、悪意のあるSQLが実行されてしまう。 |
| イ | HTTPSを使ったクロスサイトスクリプティング攻撃を受けると、Webブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので、悪意のあるWebサイトからダウンロードされたプログラムやスクリプトが実行されてしまう。 |
| ウ | HTTPSを使ったブルートフォース攻撃を受けるとログイン試行のチェックができないので、Webアプリケーションで赤宇都ロックなどの対策が実行できなくなってしまう。 |
| エ | 攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると、通信内容がチェックできないので、秘密情報が社外に送信されてしまう。 |
攻撃にHTTP over TLS(HTTPS)が使われた場合に起こり得ることはどれか。
| ア | HTTPSを使ったSQLインジェクション攻撃を受けると、Webアプリケーションでデータベースへの不正な入力をチェックできないので、悪意のあるSQLが実行されてしまう。 |
| イ | HTTPSを使ったクロスサイトスクリプティング攻撃を受けると、Webブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので、悪意のあるWebサイトからダウンロードされたプログラムやスクリプトが実行されてしまう。 |
| ウ | HTTPSを使ったブルートフォース攻撃を受けるとログイン試行のチェックができないので、Webアプリケーションで赤宇都ロックなどの対策が実行できなくなってしまう。 |
| エ | 攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると、通信内容がチェックできないので、秘密情報が社外に送信されてしまう。 |
解答:エ
<解説>
Webサーバで利用されるプロトコルとはHTTPだが、それを「SSL/TLS」という暗号化通信機能と共に利用できるようにしたのが「HTTPS(HTTP over SSL/TLS)」である。サイトへのログイン情報やユーザーのプライバシーに関する情報など、重要で漏えいしては困るような情報を保護したい時にHTTPS化が使われる。
| ア | × | SQLインジェクション攻撃とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のことである。 通信内容がHTTPSで暗号化されていてもHTTPで平文のままであっても攻撃は発生する。 |
| イ | × | クロスサイトスクリプティング攻撃とは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことである。 通信内容がHTTPSで暗号化されていてもHTTPで平文のままであっても攻撃は発生する。 |
| ウ | × | ブルートフォース攻撃とは、暗号や暗証番号などで、理論的にありうるパターン全てを入力し解読する暗号解読方法である。 通信内容がHTTPSで暗号化されていてもHTTPで平文のままであっても攻撃は発生する。 |
| エ | ○ | マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどがある。HTTPSでは、通信が暗号化されているため通信内容をチェックできない。HTTPは暗号化されていないので対応することが可能である。 |
キーワード
- 「HTTPS (HTTP over SSL/TLS)」関連の過去問題・・・HTTPS (HTTP over SSL/TLS)とは
- ITパスポート 平成24年度(春季) 問80
- 基本情報技術者 平成25年度(春季) 問44
- 応用情報技術者 平成29年度(春季) 問44
お問い合わせ
