必ず受かる情報処理技術者試験

当サイトは、情報処理技術者試験に合格するためのWebサイトです。
ITパスポート試験,基本情報技術者,応用情報技術者,高度試験の過去問題と解答及び詳細な解説を掲載しています。
  1. トップページ
  2. 基本情報技術者
  3. 平成24年度春季問題一覧
  4. 平成24年度春季問題45-解答・解説-分析

平成24年度春季問題

問題45

ディレクトリトラバーサル攻撃に該当するものはどれか。

Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,想定外のSQL文を実行する。
Webサイトに利用者を誘導した上で,Webサイトの入力データ処理の欠陥を悪用し,利用者のブラウザで悪意のあるスクリプトを実行する。
管理者が意図していないパスでサーバ内のファイルを指定することによって,本来は許されないファイルを不正に閲覧する。
セッションIDによってセッションが管理されるとき,ログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。

ディレクトリトラバーサル攻撃に該当するものはどれか。

Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,想定外のSQL文を実行する。
Webサイトに利用者を誘導した上で,Webサイトの入力データ処理の欠陥を悪用し,利用者のブラウザで悪意のあるスクリプトを実行する。
管理者が意図していないパスでサーバ内のファイルを指定することによって,本来は許されないファイルを不正に閲覧する。
セッションIDによってセッションが管理されるとき,ログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。

解答:ウ

<解説>

ディレクトリ・トラバーサル攻撃とは、Webアプリケーションの脆弱性の一つ。

Webサイトのページを指定するパスに細工を行うことによって、管理者がユーザーに見せるつもりのないファイルやディレクトリまで閲覧できてしまうこと、またはそういう攻撃である。

× SQLインジェクション攻撃に関する説明である。
× クロスサイトスクリプティング攻撃に関する説明である。
ディレクトリ・トラバーサル攻撃に関する説明である。
× セッションハイジャック攻撃に関する説明である。

キーワード