応用情報技術者 H26年秋午前【問40】

Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

ア	OSコマンドインジェクションを防ぐために、Webアプリケーションが発行するセッションIDを推測困難なものにする。
イ	SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
ウ	クロスサイトスクリプティングを防ぐために、外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
エ	セッションハイジャックを防ぐために、Webアプリケーションからシェルを起動できないようにする。

　　　　

みんなの正解率：　71%　　（14人のうち10人が正解）

キーワード：

OSコマンドインジェクション SQLインジェクション クロスサイトスクリプティング シェル セッションハイジャック バインド機構

解答と解説

解答：	イ
解説：	OSコマンドインジェクション Web アプリケーションの脆弱性を悪用する攻撃手法のうち、Perl の system 関数や PHP の exec 関数など外部プログラムの呼出しを可能にするための関数を利用し、不正にシェルスクリプトや実行形式のファイルを実行させる。 SQLインジェクション Web アプリケーションに問題があるとき、データベースに悪意のある問合せや操作を行う命令文を入力して、データベースのデータを改ざんしたり不正に情報取得したりする攻撃。
キーワード：	OSコマンドインジェクション SQLインジェクションクロスサイトスクリプティングシェルセッションハイジャックバインド機構

みんなの正解率：　71%　　（14人のうち10人が正解）

スポンサードリンク

この問題のキーワード

OSコマンドインジェクション

正解率：64%

SQLインジェクション

【H24年秋】安全な Web アプリケーションの作り方について、攻撃と対策の適切な...	正解率：83%
【H24年春】 Web アプリケーションにおける脅威とそのセキュリティ対策の適切な組...	正解率：64%
【H21年春】ディレクトリトラバーサル攻撃に該当するものはどれか。...	正解率：79%
【H20年春】 SQL インジェクション対策として行う特殊文字の無効化操作はどれか。...	正解率：69%
【H20年秋】 SQL インジェクション攻撃を防ぐ方式はどれか。...	正解率：73%

クロスサイトスクリプティング

【H27年秋】クロスサイトスクリプティングの手口に該当するものはどれか。...	正解率：86%
【H25年秋】クロスサイトスクリプティングの手口はどれか。...	正解率：67%
【H24年秋】安全な Web アプリケーションの作り方について、攻撃と対策の適切な...	正解率：83%
【H24年春】 Web アプリケーションにおける脅威とそのセキュリティ対策の適切な組...	正解率：64%
【H21年春】ディレクトリトラバーサル攻撃に該当するものはどれか。...	正解率：79%
【H20年春】 SQL インジェクション対策として行う特殊文字の無効化操作はどれか。...	正解率：69%

シェル

【H24年春】次の手順はシェルソートによる整列を示している。...	正解率：59%
【H24年春】 Web アプリケーションにおける脅威とそのセキュリティ対策の適切な組...	正解率：64%
【H19年秋】次の手順はシェルソートによる整列を示している。...	正解率：61%
【H19年秋】 UNIXの特徴のうち、適切なものはどれか。...	正解率：73%
【H18年秋】 OSにおけるシェルの役割に関する記述として､適切なものはどれか。...	正解率：71%
【H16年春】次の手順はシェルソートによる整列を示している。データ列“7、2、8、...	正解率：59%

セッションハイジャック

【H24年秋】安全な Web アプリケーションの作り方について、攻撃と対策の適切な...	正解率：83%
【H24年春】 Web アプリケーションにおける脅威とそのセキュリティ対策の適切な組...	正解率：64%
【H21年春】ディレクトリトラバーサル攻撃に該当するものはどれか。...	正解率：79%

バインド機構

正解率：64%

応用情報技術者 H26年秋の全キーワードをみる

応用情報技術者 H26年秋 午前 【問40】