SQLインジェクションの説明はどれか。

ア	Webアプリケーションに悪意のある入力を与えてデータベースの問合せや操作を行う命令文を組立てて、データを改ざんしたり不正に情報取得したりする攻撃
イ	悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃
ウ	市販されているデータベース管理システムの脆弱性を利用して、宿主となるデータベースサーバを探して自己伝染を繰り返し、インターネットのトラフィックを急増させる攻撃
エ	訪問者の入力データをそのまま画面に表示するWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送り、訪問者のブラウザで実行させる攻撃

SQLインジェクションの説明はどれか。

ア	Webアプリケーションに悪意のある入力を与えてデータベースの問合せや操作を行う命令文を組立てて、データを改ざんしたり不正に情報取得したりする攻撃
イ	悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃
ウ	市販されているデータベース管理システムの脆弱性を利用して、宿主となるデータベースサーバを探して自己伝染を繰り返し、インターネットのトラフィックを急増させる攻撃
エ	訪問者の入力データをそのまま画面に表示するWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送り、訪問者のブラウザで実行させる攻撃

解答：ア

＜解説＞

SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。

ア	○	SQLインジェクションの説明である。
イ	×	CSRF(Cross Site Request Forgeries)の説明である。
ウ	×	ワームの説明である。
エ	×	クロスサイトスクリプティングの説明である。

分類

1. 高度共通　午前1
2. テクノロジ系
3. 技術要素
4. セキュリティ
5. セキュリティ実装技術

キーワード

• 「SQLインジェクション」関連の過去問題・・・SQLインジェクションとは
  • 基本情報技術者 平成24年度(秋季) 問40
  • 基本情報技術者 平成25年度(春季) 問40
  • 応用情報技術者 平成22年度(春季) 問43
  • 応用情報技術者 平成23年度(秋季) 問40
  • 応用情報技術者 平成24年度(秋季) 問41
  • 応用情報技術者 平成26年度(春季) 問40
  • 応用情報技術者 平成26年度(秋季) 問40
  • 高度共通　午前1 平成22年度(春季) 問15
  • 高度共通　午前1 平成24年度(秋季) 問15
  • システムアーキテクト 平成21年度(秋季) 問4
  • 情報セキュリティスペシャリスト 平成21年度(秋季) 問14
  • 情報セキュリティスペシャリスト 平成22年度(秋季) 問8