基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [令和元年秋午前] [令和元年秋午後]
平成29年 春期 基本情報技術者 午前 問37
問37   ディレクトリトラバーサル攻撃

 ディレクトリトラバーサル攻撃に該当するものはどれか。

ア 攻撃者が,Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図しない SQL 文を実行させる。

イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。

ウ 攻撃者が,利用者を Web サイトに誘導した上で,Web アプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し,利用者の Web ブラウザで悪意のあるスクリプトを実行させる。

エ セッション ID によってセッションが管理されるとき,攻撃者がログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてサーバにアクセスする。

解答←クリックすると正解が表示されます
解説

ア:SQL インジェクション攻撃の説明である。

イ:正しい。ディレクトリトラバーサル攻撃の説明である。

ウ:クロスサイトスクリプティング攻撃の説明である。

エ:セッションハイジャック攻撃の説明である。

【平成24年春 問45 類題】

【平成26年秋 問44 類題】

[←前の問題] [次の問題→] [問題一覧表] [分野別] [キーワード索引] [基本情報技術者試験TOP ]
©2004-2024 情報処理試験.jp |  プライバシーポリシー・著作権・リンクお問合わせ