パス指定の悪用
情報セキュリティマネジメント試験「ディレクトリトラバーサル対策」の問題
ファイル名に上位階層を指す記号を含めて公開範囲外のファイルへ到達する攻撃を防ぐ対策はどれか。
ア通信内容を暗号化して、経路上で盗聴されても内容を読めないようにするためだけの対策。
イ利用者の指紋や顔を読み取り、登録済みの特徴と照合して本人を正しく確かめる対策。
ウ指定されたパスを正規化し許可された範囲内に収まるか確認して、範囲外参照を防ぐ対策。
エ失効した証明書の一覧を配布し、失効済みかどうかを確認できるようにするためだけの対策。
正解
ウ.指定されたパスを正規化し許可された範囲内に収まるか確認して、範囲外参照を防ぐ対策。
ディレクトリトラバーサル対策は外部から与えられたパスを正規化したうえで公開ディレクトリ配下に収まるか検証し、上位を指す記号で範囲外のファイルへ抜ける参照を遮断する。
?選択肢ごとの解説
ア ×通信の暗号化は内容の秘匿が目的で、範囲外ファイルへの参照を防ぐトラバーサル対策とは異なる。
イ ×生体情報の照合は本人確認で、パスの範囲検査を行うディレクトリトラバーサル対策とは対象が異なる。
ウ ○ディレクトリトラバーサル対策は外部から与えられたパスを正規化したうえで公開ディレクトリ配下に収まるか検証し、上位を指す記号で範囲外のファイルへ抜ける参照を遮断する。
エ ×失効一覧の配布は証明書失効確認で、ファイルパスの範囲外参照を防ぐ本対策とは目的が異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0019
