攻撃手法・脅威

情報セキュリティマネジメント試験ディレクトリトラバーサル」の問題

情報セキュリティ全般攻撃手法・脅威難易度:normal
パス名の相対指定を悪用し、公開を想定していない上位階層のファイルへ不正にアクセスする攻撃はどれか。
入力欄に不正なSQL文を挿入し、データベースを意図せぬ形で不正に操作したり情報を抜き取る。
相対パス指定を悪用し非公開の上位階層ファイルへ不正に到達する。
閲覧者のブラウザ上で実行される不正なスクリプトを、Webページに埋め込んで実行させる。
大量の要求を送りつけ対象サーバの応答を停止させる。
正解
相対パス指定を悪用し非公開の上位階層ファイルへ不正に到達する。

ディレクトリトラバーサルは、ファイル名の入力に「../」などの相対パス記法を混入させ、本来アクセスを許可していない上位ディレクトリのファイルへ不正に到達して読み取り等を行う攻撃である。

?選択肢ごとの解説

ア ×SQLインジェクションの説明で、DB操作が目的でファイルパス悪用とは異なる。
イ ○ディレクトリトラバーサルは、ファイル名の入力に「../」などの相対パス記法を混入させ、本来アクセスを許可していない上位ディレクトリのファイルへ不正に到達して読み取り等を行う攻撃である。
ウ ×クロスサイトスクリプティングの説明で、ブラウザ上の実行が本質でパス遡行ではない。
エ ×DoS攻撃の説明で、応答停止が目的で不正ファイルアクセスではない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-w1-0010

【情報セキュリティマネジメント試験】ディレクトリトラバーサルの問題と解答・解説|ukamiru 過去問