本文へスキップ

技術士試験(情報工学部門)・情報技術者試験。ファーストマクロ。


Since 2016.4.19

平成30年度 春期 応用情報技術者試験問題と解説

問38

ディレクトリトラバーサル攻撃はどれか。

ア OSコマンドを受け付けるアプリケーションに対して、攻撃者が、ディレクトリを作成するOSコマンドの文字列を入力して実行する。

イ SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して、攻撃者が、任意のSQL文を渡して実行する。

ウ シングルサインオンを提供するディレクトリサービスに対して、攻撃者が、不正に入手した認証情報を用いてログインし、複数のアプリケーションを不正使用する。

エ 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して、攻撃者が、上位のディレクトリを意味する文字列を使って、非公開のファイルにアクセスする。


正解


解説

ア OSコマンドインジェクション攻撃の説明である。

イ SQLインジェクション攻撃の説明である。

ウ 不正アクセスの説明である。

エ 正しい。ディレクトリトラバーサル攻撃は、ウェブサイトのページを指定するパスに ../ などの細工を行うことで、本来アクセスを禁止しているディレクトリやファイルにアクセスすることである。

問37 目次 問39