今日の気づき 〜はひふへほ〜

今日気づいたことを、軽いタッチで、コミカルに表現してみました。 パソコンやITに関することも時々書いています。           

SQLインジェクション攻撃

平成30年度 技術士第一次試験問題 情報工学部門 掘檻械

掘檻械
攻撃の対象となるサーバ又はネットワーク機器にセキュリティ上の弱点がなく
ても被害が発生してしまう攻撃手法として、最も適切なものはどれか。

  。庁庁錚唸況
 ◆。味腺裡長況
  SQLインジェクション攻撃
 ぁ.疋薀ぅ屐Ε丱ぁΕ瀬Ε鵐蹇璽氷況
 ァ.丱奪侫.ーバーフロー攻撃



答えはこちら

平成30年度春期 基本情報技術者試験問題 問41

問41
SQLインジェクション攻撃による被害を防ぐ方法は
どれか。

 ア 入力された文字が、データベースへの問合せや
   操作において、特別な意味をもつ文字として
   解釈されないようにする。
 イ 入力にHTMLタグが含まれていたら、HTMLタグ
   として解釈されない他の文字列に置き換える。
 ウ 入力に上位ディレクトリを指定する文字列 (../)
   が含まれているときは受け付けない。
 エ 入力の全体の長さが制限を越えているときは
   受け付けない。



答えはこちら

平成30年度春期 応用情報技術者試験問題 問38

問38
ディレクトリトラバーサル攻撃はどれか。

 ア OSコマンドを受け付けるアプリケーションに
   対して、攻撃者が、ディレクトリを作成する
   OSコマンドの文字列を入力して実行する。
 イ SQL文のリテラル部分の生成処理に問題がある
   アプリケーションに対して、攻撃者が、任意の
   SQL文を渡して実行する。
 ウ シングルサインオンを提供するディレクトリサービス
   に対して、攻撃者が、不正に入手した認証情報を
   用いてログインし、複数のアプリケーションを不正
   使用する。
 エ 入力文字列からアクセスするファイル名を組み
   立てるアプリケーションに対して、攻撃者が、
   上位のディレクトリを意味する文字列を使って、
   非公開のファイルにアクセスする。



答えはこちら

平成28年度春期 基本情報技術者試験問題 問37

問37
SQLインジェクション攻撃の説明として、適切なものはどれか。

 ア Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、
   攻撃者が悪意をもって構成した文字列を入力することによって、データベースの
   データの不正な取得、改ざん及び削除をする攻撃
 イ Webサイトに対して、他のサイトを介して大量のパケットを送り付け、そのネット
   ワークトラフィックを異常に高めてサービスを提供不能にする攻撃
 ウ 確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを
   行うことによって、プログラムを異常終了させたりデータエリアに挿入された不正な
   コードを実行させたりする攻撃
 エ 攻撃者が罠を仕掛けたWebページを利用者が閲覧し、当該ページ内のリンクを
   クリックしたときに、不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ、
   レスポンスに埋め込まれた不正スクリプトの実行によって、情報漏えいをもたらす攻撃



答えはこちら

平成27年度 技術士第一次試験問題 情報工学部門 掘檻隠

掘檻隠
DB(データベース)のSQLインジェクション攻撃に関する次の記述のうち、最も適切なものはどれか。

  DBMS製品に脆弱性がある場合、その脆弱性を利用してDBサーバに不正に侵入し、
   DB中のデータを不正に取得したり、改ざんしたりする攻撃である。
 ◆WebアプリケーションにHTTPレスポンスへッダの出力処理に脆弱性がある場合、
   悪意のあるヘッダ行を挿入して不正な動作を行わせる攻撃である。
  Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性がある場合、
   その脆弱性を悪用して不正なスククリプトを利用者ブラウザ上で実行する攻撃である。
 ぁWebアプリケーションにDB処理の脆弱性がある場合、悪意のある命令文をDBへ送信して、
   DB中のデータを不正に取得したり、改ざんしたりする攻撃である。
 ァWebアプリケーションのメモリ操作に脆弱性がある場合、メモリ領域を越えて
   メモリを上書し、悪意のあるコードを実行させてプログラムを誤動作させる攻撃である。


答えはこちら
ファーストマクロのHP
楽天市場
記事検索
Archives
訪問者数
  • 今日:
  • 昨日:
  • 累計:

livedoor 天気
TagCloud
Recent Comments
「最新トラックバック」は提供を終了しました。