SQLインジェクション攻撃の説明はどれか。
ア Web アプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文を Web サイトに入力して, データベースのデータを不正に取得したり改ざんしたりする攻撃
イ 悪意のあるスクリプトを埋め込んだ Web ページを訪問者に閲覧させて,別のWeb サイトで, その訪問者が意図しない操作を行わせる攻撃
ウ 市販されている DBMS の脆弱性を悪用することによって,宿主となるデータベースサーバを探して感染を繰り返し,インターネットのトラフィックを急増させる攻撃
エ 訪問者の入力データをそのまま画面に表示する Web サイトを悪用して,悪意のあるスクリプトを訪問者の Web ブラウザで実行させる攻撃
解説を読む
正解:ア
解説:
SQLインジェクション攻撃とはデータベース操作言語であるSQLを悪用して本来は取得できないデータを取得したり、改ざんをしたりする攻撃です。例えば現在多くのブログやSNSではデータベースが用いられていますので検索窓にSQL命令を入力すると実行されてしまう場合が考えられます。対策としてはサニタイジング(エスケープ)処理が有効とされます。これはSQLの命令などを意味の持たない文字列に置き換える処理です。
ア.正解です。上記解説もご参照ください。
イ.クロスサイトスクリプティング攻撃の説明です。この攻撃によりCookie情報が盗まれIDやパスワードが漏洩する危険があります。
ウ.コンピュータウィルス(ワーム)によるデータベースサーバ攻撃です。
エ.イと同様にクロスサイトスクリプティング攻撃の説明です。
解説を閉じる
コメント