基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [平成31年春午前] [平成31年春午後]

平成28年 春期 基本情報技術者 午前 問37
問37   SQLインジェクション攻撃の説明

 SQL インジェクション攻撃の説明として、適切なものはどれか。

ア Web アプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除をする攻撃

イ Web サイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする攻撃

ウ 確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする攻撃

エ 攻撃者が罠(わな)を仕掛けた Web ページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆(ぜい)弱な Web サーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす攻撃


解答←クリックすると正解が表示されます

解説

 SQL インジェクションとは、Web アプリケーションに脆弱性がある場合に、 データベースの問合せや操作を行う命令に SQL の命令を含ませることで、 SQL を使っているデータベースに 直接アクセスしてデータを 改ざんしたり不正に情報取得したりする攻撃手法のことである。

【平成24年秋 問40 類題】


[←前の問題] [次の問題→] [問題一覧表] [分野別] [キーワード索引] [基本情報技術者試験TOP ]