攻撃手法

情報セキュリティマネジメント試験SQLインジェクション」の問題

情報セキュリティ全般攻撃手法難易度:hard
Webアプリの入力欄に不正なSQL文の断片を紛れ込ませ、データベースを意図せず操作して情報を盗み出したり改ざんしたりする攻撃はどれか。
大量の通信を送りつけてサービスを停止させるDoS攻撃である。
不正なSQL文を送り込みデータベースを操作する攻撃である。
人をだまして秘密の情報を聞き出す対人的な手口である。
通信を暗号化して盗聴から保護する防御技術のことである。
正解
不正なSQL文を送り込みデータベースを操作する攻撃である。

SQLインジェクションは、入力値の検査が不十分なWebアプリに不正なSQL文を注入し、データベースを意図せず操作する攻撃。情報の窃取・改ざん・認証回避などを招く。入力値の検証やプレースホルダ利用が対策となる。

?選択肢ごとの解説

ア ×DoS攻撃は可用性を奪う攻撃で、DBを不正操作して情報を盗む本問のSQLインジェクションとは狙いが異なる。
イ ○SQLインジェクションは、入力値の検査が不十分なWebアプリに不正なSQL文を注入し、データベースを意図せず操作する攻撃。情報の窃取・改ざん・認証回避などを招く。入力値の検証やプレースホルダ利用が対策となる。
ウ ×人をだます手口はソーシャルエンジニアリングで、入力欄を悪用する技術的攻撃である本問とは性質が異なる。
エ ×通信の暗号化は防御技術で、DBを不正操作する攻撃である本問とは正反対の概念である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0020

【情報セキュリティマネジメント試験】SQLインジェクションの問題と解答・解説|ukamiru 過去問