情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

HOME»情報セキュリティスペシャリスト平成27年春期»午前Ⅰ 問15

情報セキュリティスペシャリスト平成27年春期午前Ⅰ 問15

«前の問題 | 次の問題»

午前Ⅰ 問15

ディレクトリトラバーサル攻撃はどれか。

OSの操作コマンドを利用するアプリケーションに対して，攻撃者が，OSのディレクトリ作成コマンドを渡して実行する。
SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して，攻撃者が，任意のSQL文を渡して実行する。
シングルサインオンを提供するディレクトリサービスに対して，攻撃者が，不正に入手した認証情報を用いてログインし，複数のアプリケーションを不正使用する。
入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して，攻撃者が，上位のディレクトリを意味する文字列を使って，非公開のファイルにアクセスする。

[この問題の出題歴]
応用情報技術者
平成27年春期問46と同題

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

エ

解説

ディレクトリトラバーサル攻撃は、ファイル名を要求するプログラムに対してサーバ内の想定外のファイル名(親ディレクトリの移動「../」など)を直接指定することによって、本来許されないファイルの不正な閲覧・取得を狙う攻撃方法です。

したがって正しい記述は「エ」です。

OSコマンドインジェクション攻撃の説明です。
SQLインジェクション攻撃の説明です。
不正アクセスの事例です。
正しい。ディレクトリトラバーサル攻撃の説明です。

© 2014-2021　情報処理安全確保支援士ドットコム　All Rights Reserved.