ネットワークスペシャリスト令和3年春期 午前Ⅱ 問21

問21

Webアプリケーションの脆弱性を悪用する攻撃手法のうち,入力した文字列がPerlのsystem関数,PHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
  • HTTPヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック
  • [出題歴]
  • ネットワーク H27秋期 問20

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

OSコマンドインジェクションは、ユーザーから受け付けた入力値をOSに対する命令文の一部として使用するシステムに対して、OSへの命令文を含む入力値を与えることで不正なOSコマンドを実行させ、ファイルの不正操作、外部プログラムの実行、パスワードの不正取得などを行う攻撃です。
  • HTTPヘッダインジェクションは、動的にHTTPヘッダを生成するシステムにおいて、HTTPヘッダ内に改行コードなどを不正挿入することによって、不正なヘッダ情報を挿入したり、任意の記述をメッセージボディに挿入したりする攻撃です。
  • 正しい。OSコマンドインジェクションは、入力値としてOSコマンドとして解釈される文字列を紛れ込ませることにより、システムに不正なOSコマンドを実行させる攻撃です。
  • クロスサイトリクエストフォージェリは、Webサイトに設置されたハイパーリンクや実行されるスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。引き起こされる被害例としては、会員情報の変更、商品の購入などがあります。
  • セッションハイジャックは、TCPコネクションやクライアント-サーバ間の正規のセッションを奪い取る行為です。
© 2015-2024 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop