基本情報技術者平成24年秋期 午前問40

午前問40

SQLインジェクションの説明はどれか。
  • Webアプリケーションに問題があるとき,データベースに悪意のある問合せや操作を行う命令文を入力して,データベースのデータを改ざんしたり不正に取得したりする攻撃
  • 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
  • 市販されているDBMSの脆弱性を利用することによって,宿主となるデータベーサーバを探して自己伝染を繰り返し,インターネットのトラフィックを急増させる攻撃
  • 訪問者の入力データをそのまま画面に表示するWebサイトに対して,悪意のあるスクリプトを埋め込んだ入力データを送ることによって,訪問者のブラウザで実行させる攻撃
  • [この問題の出題歴]
  • 応用情報技術者 H22春期 問43
  • 基本情報技術者 H27春期 問42
  • 基本情報技術者 H29秋期 問39

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

SQLインジェクション(SQL Injection)は、入力データとしてデータベースへの命令文を構成するデータを入力し、Webアプリケーションが想定しない想定外のSQL文を意図的に実行させることでデータベースを攻撃する行為です。
SQLインジェクションは、入力値の中でSQLとして特別な意味を持つ文字を適切にエスケープすることで防ぎます。DBMSやライブラリによってはエスケープ処理が自動化されているものもあり有用です。
  • 正しい。SQLインジェクションの説明です。
  • クロスサイトリクエストフォージェリの説明です。
  • SQL Slammerなどのセキュリティホールを付いて感染を広げるタイプのワームの説明です。
  • クロスサイトスクリプティングの説明です。
© 2010-2021 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop