HOME»データベーススペシャリスト平成22年春期»午前Ⅰ 問15
データベーススペシャリスト平成22年春期 午前Ⅰ 問15
問15
SQLインジェクションの説明はどれか。
- Webアプリケーションに悪意のある入力データを与えてデータベースの問合せや操作を行う命令文を組み立てて,データを改ざんしたり不正に情報取得したりする攻撃
- 悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
- 市販されているデータベース管理システムの脆弱性を利用して,宿主となるデータベースサーバを探して自己伝染を繰り返し,インターネットのトラフィックを急増させる攻撃
- 訪問者の入力データをそのまま画面に表示するWebサイトに対して,悪意のあるスクリプトを埋め込んだ入力データを送り,訪問者のブラウザで実行させる攻撃
- [出典]
- 応用情報技術者
平成22年春期 問43と同題
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
ア
解説
SQLインジェクションとは、データベースを使ったWebアプリケーションシステムに対して、行われる攻撃手法です。入力フォームにSQL文の一部や不正な文字列を与えることでアプリケーションが想定していないSQL文を実行させ、データベースサーバを不正に操作する攻撃方法です。
この攻撃に対しては、入力値を適切にエスケープしたりBIND機構を使うことでが対策となります。DBMSやライブラリによってはエスケープ処理が自動化されているものもあり有用です。
この攻撃に対しては、入力値を適切にエスケープしたりBIND機構を使うことでが対策となります。DBMSやライブラリによってはエスケープ処理が自動化されているものもあり有用です。
- 正しい。SQLインジェクション対策としてWeb入力フォームからのデータ内の危険文字列を「無害化」するサニタイジングという用語もチェックしておきましょう。
- XSRF(クロスサイトリクエストフォージェリ)の説明です。攻撃者は第三者を攻撃用のWebページにアクセスさせ、意図した操作を行わせるための用意したHTTPリクエストを送信させます。
- ワームの一種 SQL Slammerの説明です。
- XSS(クロスサイトスクリプティング)の説明です。