問題43
Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
| ア | OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。 |
| イ | SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を利用する。 |
| ウ | クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。 |
| エ | セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。 |
解答・解説を見る
解答:イ
| ア | × | セッションハイジャックを防ぐための対策である。 |
| イ | ○ | バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所(プレースホルダ)に実際の値(バインド値)を割り当ててSQL文を生成するデータベースの機能である。SQLインジェクションを防ぐために用いる。 |
| ウ | × | ディレクトリトラバーサル攻撃を防ぐための対策である。 |
| エ | × | OSコマンドインジェクションを防ぐための対策である。 |