電気通信主任技術者 伝送交換設備及び設備管理
過去問:令和元年 第2回 問5(3)
※日本データ通信協会 試験問題より引用
(3)次の問いの、「 」内の(カ)に最も適したものを、下記の解答群から
選び、その番号を記せ。
Web経由の攻撃について述べた次のA~Cの文章は、「カ」。
A JavaScriptは、Webページに動きや対話性などを付加することができるプロ
グラム言語であるが、JavaScriptを攻撃対象のWebページに埋め込み、その
ページの閲覧者を不正サイトに誘導したり、データを盗用したりするために
用いられる場合がある。
B データベースと連携したWebサイトに対する攻撃手法の一つに、クロスサイト
スクリプティングがある。クロスサイトスクリプティングは、データベースを
操作する言語であるSQLを使って不正にデータベースを操作することを目的と
している。
C 攻撃者がURLのパラメータなどにOSのコマンドを挿入し、利用者が意図しない
OSコマンドを実行させる攻撃は、一般に、OSコマンドインジェクションとい
われる。この攻撃を受けるとシステムに侵入され、重要情報が盗まれたり、
攻撃の踏み台に悪用されるおそれががある。
<(オ)の解答群>
① Aのみ正しい ② Bのみ正しい ③ Cのみ正しい
④ A、Bが正しい ⑤ A、Cが正しい ⑥ B、Cが正しい
⑦ A、B、Cいずれも正しい ⑧ A、B、Cいずれも正しくない
解答:
⑤ A、Cが正しいとなります。
Bの正しい文章は、
B データベースと連携したWebサイトに対する攻撃手法の一つに、クロスサイ
トスクリプティングSQLインジェクションがある。クロスサイトスクリプティ
ングSQLインジェクションは、データベースを操作する言語であるSQLを使っ
て不正にデータベースを操作することを目的としている。
脆弱性のあるWebサイトを踏み台にして、悪意のあるプログラムをサイトの
訪問者に送り込む手法。
※平成28年度 第2回試験でも解答が同様の問題が出題されました。