ネットワークスペシャリスト 平成27年秋期 午前U 問20

午前U 問20

Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものは,どれに分類されるか。
  • HTTPヘッダインジェクション
  • OSコマンドインジェクション
  • クロスサイトリクエストフォージェリ
  • セッションハイジャック

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

OSコマンドインジェクションは、ユーザの入力を元に一部のOSコマンドを使用して動的にページを生成するシステムにおいて、入力値として不正な値を与えることでファイルの不正操作,パスワードの不正取得などを行う攻撃です。
  • HTTPヘッダインジェクションは、動的にHTTPヘッダを生成するシステムにおいて、HTTPヘッダ内に改行コードなどを挿入することによって"Set-Cookie","Location"などの攻撃のための不正なヘッダ情報を挿入したり、メッセージボディに任意の記述を挿入する攻撃です。
  • 正しい。
  • クロスサイトリクエストフォージェリは、Webサイトに設置されたハイパリンクや実行されるスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。引き起こされる被害例としては、会員情報の変更、商品の購入などがあります。
  • セッションハイジャックは、TCPコネクションやクライアント−サーバ間の正規のセッションを奪い取る行為です。
© 2015-2019 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop