応用情報技術者 H24年春 午前 【問43】
Web アプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア | OS コマンドインジェクションを防ぐために、Web アプリケーションが発行するセッション ID を推測困難なものにする。 |
イ | SQL インジェクションを防ぐために、Web アプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。 |
ウ | クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。 |
エ | セッションハイジャックを防ぐために、Web アプリケーションからシェルを起動できないようにする。 |
みんなの正解率: 64% (100人のうち64人が正解)
キーワード: | OS OSコマンドインジェクション SQL SQLインジェクション クロスサイトスクリプティング シェル セキュリティ対策 セッションハイジャック バインド機構 |
応用情報技術者 H24年春の全キーワードをみる
解答と解説
解答: | イ |
解説: | OSコマンドインジェクション Web アプリケーションの脆弱性を悪用する攻撃手法のうち、Perl の system 関数や PHP の exec 関数など外部プログラムの呼出しを可能にするための関数を利用し、不正にシェルスクリプトや実行形式のファイルを実行させる。 SQLインジェクション Web アプリケーションに問題があるとき、データベースに悪意のある問合せや操作を行う命令文を入力して、データベースのデータを改ざんしたり不正に情報取得したりする攻撃。 |
キーワード: | OS OSコマンドインジェクション SQL SQLインジェクション クロスサイトスクリプティング シェル セキュリティ対策 セッションハイジャック バインド機構 |
みんなの正解率: 64% (100人のうち64人が正解) |
|
スポンサードリンク
この問題のキーワード
OS
OSコマンドインジェクション
【H26年秋】 Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合... | 正解率:71% |
SQL
SQLインジェクション
クロスサイトスクリプティング
シェル
セキュリティ対策
セッションハイジャック
バインド機構
【H26年秋】 Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合... | 正解率:71% |
応用情報技術者 H24年春の全キーワードをみる
H24年春 設問一覧
応用情報技術者の過去年度