平成30年度 春期
応用情報技術者試験問題と解答
問38
ディレクトリトラバーサル攻撃はどれか。

 ア OSコマンドを受け付けるアプリケーションに
   対して、攻撃者が、ディレクトリを作成する
   OSコマンドの文字列を入力して実行する。
 イ SQL文のリテラル部分の生成処理に問題がある
   アプリケーションに対して、攻撃者が、任意の
   SQL文を渡して実行する。
 ウ シングルサインオンを提供するディレクトリサービス
   に対して、攻撃者が、不正に入手した認証情報を
   用いてログインし、複数のアプリケーションを不正
   使用する。
 エ 入力文字列からアクセスするファイル名を組み
   立てるアプリケーションに対して、攻撃者が、
   上位のディレクトリを意味する文字列を使って、
   非公開のファイルにアクセスする。



【正解】 エ

ア 
OSコマンドインジェクション攻撃の説明である。
イ 
SQLインジェクション攻撃の説明である。
ウ 不正アクセスの説明である。
エ 正しい。
ディレクトリトラバーサル攻撃は、ウェブサイトのページを
 指定するパスに ../ などの細工を行うことで、本来アクセスを
 禁止しているディレクトリやファイルにアクセスすることである。

EXCEL VBAのご相談なら ファーストマクロ 



問37 目次 問39
ファーストマクロ TOPページ