基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [平成31年春午前] [平成31年春午後]

平成29年 春期 基本情報技術者 午前 問37
問37   ディレクトリトラバーサル攻撃

 ディレクトリトラバーサル攻撃に該当するものはどれか。

ア 攻撃者が,Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図しない SQL 文を実行させる。

イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。

ウ 攻撃者が,利用者を Web サイトに誘導した上で,Web アプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し,利用者の Web ブラウザで悪意のあるスクリプトを実行させる。

エ セッション ID によってセッションが管理されるとき,攻撃者がログイン中の利用者のセッション ID を不正に取得し,その利用者になりすましてサーバにアクセスする。


解答←クリックすると正解が表示されます

解説

ア:SQL インジェクション攻撃の説明である。

イ:正しい。ディレクトリトラバーサル攻撃の説明である。

ウ:クロスサイトスクリプティング攻撃の説明である。

エ:セッションハイジャック攻撃の説明である。

【平成24年春 問45 類題】

【平成26年秋 問44 類題】


[←前の問題] [次の問題→] [問題一覧表] [分野別] [キーワード索引] [基本情報技術者試験TOP ]