平成27年度 技術士第一次試験問題【専門科目】
【16】情報工学部門
V−12
DB(データベース)のSQLインジェクション攻撃に関する次の記述のうち、最も適切なものはどれか。

 @ DBMS製品に脆弱性がある場合、その脆弱性を利用してDBサーバに不正に侵入し、
   DB中のデータを不正に取得したり、改ざんしたりする攻撃である。
 A WebアプリケーションにHTTPレスポンスへッダの出力処理に脆弱性がある場合、
   悪意のあるヘッダ行を挿入して不正な動作を行わせる攻撃である。
 B Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性がある場合、
   その脆弱性を悪用して不正なスクリプトを利用者ブラウザ上で実行する攻撃である。
 C WebアプリケーションにDB処理の脆弱性がある場合、悪意のある命令文をDBへ送信して、
   DB中のデータを不正に取得したり、改ざんしたりする攻撃である。
 D Webアプリケーションのメモリ操作に脆弱性がある場合、メモリ領域を越えて
   メモリを上書し、悪意のあるコードを実行させてプログラムを誤動作させる攻撃である。





【正解】 C
SQLインジェクション攻撃とは、悪意のあるSQL(命令文)を用いて、
DB(データベース)を外部から不正に操作すること。

AはHTTPヘッダ・インジェクション攻撃の説明である。
Bはクロスサイトスクリプティング(Cross Site Scripting = XSS)の説明である。
C正しい。
Dはバッファオーバーフロー (BOF) 攻撃の説明である。

EXCELのマクロのご相談なら ファーストマクロ 



V−11 目次 V−13
ファーストマクロ TOPページ