HOME»予想問題vol.10»問22
予想問題vol.10 問22
問22
Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Perlのsystem関数やPHPのexec関数など外部プログラムの呼出しを可能にするための関数を利用し,不正にシェルスクリプトや実行形式のファイルを実行させるものはどれに分類されるか。
- HTTPヘッダーインジェクション
- OSコマンドインジェクション
- クロスサイトリクエストフォージェリ
- セッションハイジャック
- [出典]
- 情報セキュリティ H26春期 問15
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
イ
解説
OSコマンドインジェクションは、ユーザーの入力を元に一部のOSコマンドを使用して動的にページを生成するシステムにおいて、入力値として不正な値を与えることでファイルの不正操作,パスワードの不正取得などを行う攻撃です。
- HTTPヘッダーインジェクションは、動的にHTTPヘッダーを生成するシステムにおいて、HTTPヘッダー内に改行コードなどを挿入することによって"Set-Cookie","Location"などの攻撃のための不正なヘッダー情報を挿入したり、メッセージボディに任意の記述を挿入する攻撃です。
- 正しい。
- クロスサイトリクエストフォージェリは、Webサイトに設置されたハイパーリンクや実行されるスクリプトなどを通じて、別のサイトで閲覧者に意図しない不正操作を行わせる攻撃です。引き起こされる被害例としては、会員情報の変更、商品の購入などがあります。
- セッションハイジャックは、TCPコネクションやクライアント-サーバ間の正規のセッションを奪い取る行為です。