攻撃手法・脅威
情報セキュリティマネジメント試験「ディレクトリトラバーサル」の問題
パス名の相対指定を悪用し、公開を想定していない上位階層のファイルへ不正にアクセスする攻撃はどれか。
ア入力欄に不正なSQL文を挿入し、データベースを意図せぬ形で不正に操作したり情報を抜き取る。
イ相対パス指定を悪用し非公開の上位階層ファイルへ不正に到達する。
ウ閲覧者のブラウザ上で実行される不正なスクリプトを、Webページに埋め込んで実行させる。
エ大量の要求を送りつけ対象サーバの応答を停止させる。
正解
イ.相対パス指定を悪用し非公開の上位階層ファイルへ不正に到達する。
ディレクトリトラバーサルは、ファイル名の入力に「../」などの相対パス記法を混入させ、本来アクセスを許可していない上位ディレクトリのファイルへ不正に到達して読み取り等を行う攻撃である。
?選択肢ごとの解説
ア ×SQLインジェクションの説明で、DB操作が目的でファイルパス悪用とは異なる。
イ ○ディレクトリトラバーサルは、ファイル名の入力に「../」などの相対パス記法を混入させ、本来アクセスを許可していない上位ディレクトリのファイルへ不正に到達して読み取り等を行う攻撃である。
ウ ×クロスサイトスクリプティングの説明で、ブラウザ上の実行が本質でパス遡行ではない。
エ ×DoS攻撃の説明で、応答停止が目的で不正ファイルアクセスではない。
攻撃手法・脅威の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-w1-0010
