平成26年度 秋期
応用情報技術者試験問題と解答
問40
Webアプリケーションにおけるセキュリティ上の脅威と
対策の適切な組合せはどれか。

 ア OSコマンドインジェクションを防ぐために、Web
   アプリケーションが発行するセッションIDを推測
   困難なものにする。
 イ SQLインジェクションを防ぐために、Webアプリケーション
   内でデータベースへの問合せを作成する際にバインド
   機構を使用する。
 ウ クロスサイトスクリプティングを防ぐために、外部から渡す
   入力データをWebサーバ内のファイル名として直接
   指定しない。
 エ セッションハイジャックを防ぐために、Webアプリ
   ケーションからシェルを起動できないようにする。



【正解】 イ

ア 
OSコマンド・インジェクションは、攻撃者が、スクリプトを用いて
 WebサイトのOSコマンドを呼び出し、任意のファイルの読出しや
 変更・削除などの不正操作をする。
 OSコマンドインジェクションを防ぐためには、Webアプリケーションから
 シェルを起動できないようにする。
イ 正しい。 
SQLインジェクションは、Webアプリケーションの
 データ操作言語の呼出し方に不備がある場合に、
 攻撃者が悪意をもって構成した文字列を入力することによって、
 データベースのデータの不正な取得、改ざん及び削除をする攻撃
 のことである。
ウ 
クロスサイトスクリプティング (Cross Site Scripting = XSS) は、
 Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性が
 ある場合、その脆弱性を悪用して不正なスクリプトを利用者ブラウザ上で
 実行する攻撃である。
 クロスサイトスクリプティングを防ぐためには、Webアプリケーション内で、
 クライアントに入力データを再表示する場合、情報内のスクリプトを
 無効にする処理 (エスケープ) を行う。
 なお、
 
ディレクトリ・トラバーサルは、ウェブサイトのページを指定するパスに
  ../ などの細工を行うことで、本来アクセスを禁止しているディレクトリや
 ファイルにアクセスすることである。
 ディレクトリ・トラバーサルを防ぐためには、外部から渡す入力データを
 Webサーバ内のファイル名として直接指定しない。
エ セッションハイジャックは、WebブラウザとWebサーバの間の通信で、
 認証が成功してセッションが開始されているときに、Cookieなどのセッション
 情報を盗むことである。
 
セッションハイジャックを防ぐためには、Webアプリケーションが
 発行するセッションIDを推測困難なものにする。

EXCEL VBAのご相談なら ファーストマクロ 



問39 目次 問41
ファーストマクロ TOPページ