平成27年度(2015) 第3回試験 問41 | ウェブデザイン技能検定 1級
ウェブサイトのセキュリティ対策として不適切なものを、以下より 1 つ選択しなさい。
選択肢 1
SQL インジェクション攻撃の対策として、ウェブアプリケーションに渡される hidden パラメー タに、SQL 文を直接指定する。
選択肢 2
ディレクトリトラバーサルの対策として、ファイルを開く際は、固定のディレクトリを指定する。さらに、ファイル名にはディレクトリ名を含めないようにする。
選択肢 3
セッションハイジャックの対策として、セッション ID は POST メソッドの hiddden パラメータに格納して受け渡すようにする。
選択肢 4
クロスサイトスクリプティングの対策として、ウェブページの本文や HTML タグの属性などに相当するすべての出力要素に対して、エスケープ処理を施す。
解答
正解
1
解説
・SQLインジェクション
アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法
[参考]https://www.ipa.go.jp/files/000024396.pdf
・ディレクトリトラバーサル
利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。
[参考]https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%83%88%E3%83%...
・セッションハイジャック
コンピュータネットワーク通信におけるセッション(特定利用者間で行われる一連の通信群)を、通信当事者以外が乗っ取る攻撃手法である。
[参考]https://ja.wikipedia.org/wiki/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%...
・クロスサイトスクリプティング
formなどから、HPにて作成者の意図しないプログラムを実行させる事
[参考]http://viral-community.com/blog/xss-1835/
アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法
[参考]https://www.ipa.go.jp/files/000024396.pdf
・ディレクトリトラバーサル
利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。
[参考]https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%83%88%E3%83%...
・セッションハイジャック
コンピュータネットワーク通信におけるセッション(特定利用者間で行われる一連の通信群)を、通信当事者以外が乗っ取る攻撃手法である。
[参考]https://ja.wikipedia.org/wiki/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%...
・クロスサイトスクリプティング
formなどから、HPにて作成者の意図しないプログラムを実行させる事
[参考]http://viral-community.com/blog/xss-1835/
個人メモ(他のユーザーからは見えません)
メモを残すにはログインが必要です
コメント一覧
※ コメントには[ログイン]が必要です。