電気通信主任技術者　伝送交換設備及び設備管理

　過去問：令和元年 第２回 問5（3）

　※日本データ通信協会　試験問題より引用

 

（３）次の問いの、「　　」内の（カ）に最も適したものを、下記の解答群から

　　　選び、その番号を記せ。

 

　Web経由の攻撃について述べた次のA～Cの文章は、「カ」。

　A　 JavaScriptは、Webページに動きや対話性などを付加することができるプロ

　　　グラム言語であるが、JavaScriptを攻撃対象のWebページに埋め込み、その

　　　ページの閲覧者を不正サイトに誘導したり、データを盗用したりするために

　　　用いられる場合がある。

　B　 データベースと連携したWebサイトに対する攻撃手法の一つに、クロスサイト

　　　スクリプティングがある。クロスサイトスクリプティングは、データベースを

　　　操作する言語であるSQLを使って不正にデータベースを操作することを目的と

　　　している。

　C　 攻撃者がURLのパラメータなどにOSのコマンドを挿入し、利用者が意図しない

　　　OSコマンドを実行させる攻撃は、一般に、OSコマンドインジェクションとい

　　　われる。この攻撃を受けるとシステムに侵入され、重要情報が盗まれたり、

　　　攻撃の踏み台に悪用されるおそれががある。

 

　＜（オ）の解答群＞

　①　Aのみ正しい　　　②　Bのみ正しい　　   ③　Cのみ正しい

　④　A、Bが正しい　　  ⑤　A、Cが正しい　　⑥　B、Cが正しい

　⑦　A、B、Cいずれも正しい　　⑧　A、B、Cいずれも正しくない

 

 

 

 

 

　解答：

 

　 ⑤ A、Cが正しいとなります。

　　Bの正しい文章は、

　　B　データベースと連携したWebサイトに対する攻撃手法の一つに、クロスサイ

　　　 トスクリプティングSQLインジェクションがある。クロスサイトスクリプティ

　　　 ングSQLインジェクションは、データベースを操作する言語であるSQLを使っ

　　　 て不正にデータベースを操作することを目的としている。

 

　　クロスサイトスクリプティングとは

　　脆弱性のあるWebサイトを踏み台にして、悪意のあるプログラムをサイトの

　　訪問者に送り込む手法。

 

　　　※平成28年度　第2回試験でも解答が同様の問題が出題されました。