外部命令への混入
情報セキュリティマネジメント試験「OSコマンドインジェクション対策」の問題
利用者入力をそのままシェルに渡して任意のOSコマンドを実行されないようにする対策はどれか。
ア通信内容を暗号化して、経路上で盗聴されても読み取られないようにするための対策。
イ端末の紛失時に遠隔から画面を施錠し、データを消去するための対策。
ウ利用者の所在地を地図に表示し、登録地域からの接続かを確認する対策。
エ入力をシェルに直接渡さず、安全なAPIや無害化で外部命令の混入を防ぐ対策。
正解
エ.入力をシェルに直接渡さず、安全なAPIや無害化で外部命令の混入を防ぐ対策。
OSコマンドインジェクション対策は、外部入力をシェル経由で実行せず引数を直接渡す安全なAPIを用い、やむを得ず使う場合は特殊記号を無害化して任意コマンドの実行を防ぐ。
?選択肢ごとの解説
ア ×通信の暗号化は内容の秘匿が目的で、シェルへの命令混入を防ぐコマンドインジェクション対策とは異なる。
イ ×遠隔施錠と消去は端末管理で、外部命令の実行を防ぐOSコマンドインジェクション対策とは無関係である。
ウ ×所在地表示は位置情報の話で、入力のシェル渡しを避ける本対策とは目的が異なる。
エ ○OSコマンドインジェクション対策は、外部入力をシェル経由で実行せず引数を直接渡す安全なAPIを用い、やむを得ず使う場合は特殊記号を無害化して任意コマンドの実行を防ぐ。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0020
