HOME»情報セキュリティスペシャリスト平成26年春期»午前Ⅱ 問15
情報セキュリティスペシャリスト平成26年春期 午前Ⅱ 問15
問15
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれに分類されるか。
- HTTPヘッダーインジェクション
- OSコマンドインジェクション
- クロスサイトリクエストフォージェリ
- セッションハイジャック
- [出題歴]
- 安全確保支援士 R5秋期 問1
- 情報セキュリティ H23秋期 問16
- 安全確保支援士 H29春期 問12
- 安全確保支援士 H30秋期 問13
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
イ
解説
OSコマンドインジェクションは、ユーザーから受け付けた入力値をOSに対する命令文の一部として使用するシステムに対して、OSへの命令文を含む入力値を与えることで不正なOSコマンドを実行させ、ファイルの不正操作、外部プログラムの実行、パスワードの不正取得などを行う攻撃です。
- HTTPヘッダーインジェクションは、動的にHTTPヘッダーを生成するシステムにおいて、HTTPヘッダー内に改行コードなどを不正挿入することによって、不正なヘッダー情報を挿入したり、任意の記述をメッセージボディに挿入したりする攻撃です。
- 正しい。OSコマンドインジェクションは、入力値としてOSコマンドとして解釈される文字列を紛れ込ませることにより、システムに不正なOSコマンドを実行させる攻撃です。
- クロスサイトリクエストフォージェリは、Webサイトに設置されたハイパーリンクや実行されるスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。引き起こされる被害例としては、会員情報の変更、商品の購入などがあります。
- セッションハイジャックは、TCPコネクションやクライアント-サーバ間の正規のセッションを奪い取る行為です。