情報セキュリティスペシャリスト過去問題

 SQL インジェクション攻撃を防ぐ方法はどれか。

 ア 入力から,上位ディレクトリを指定する文字列(../)を取り除く。

 イ 入力中の文字がデータベースヘの問合せや操作において特別な意味をもつ
  文字として解釈されないようにする。

 ウ 入力に HTML タグが含まれていたら,解釈,実行できないほかの文字列に
  置き換える。

 エ 入力の全体の長さが制限を超えていたときは受け付けない。


『ネットワーク分野が苦手な方へ』

初級ネットワーク講座」は毎週1回、メールで配信される無料講座です。
1.ネットワークの基礎解説」と「2.基礎解説の復習を兼ねた問題
 という構成です。

1.ネットワークの基礎解説」では、多くのイラストが使用され、初心者でも
 理解しやすい文章で丁寧に解説されています。

2.基礎解説の復習を兼ねた問題」では、情報処理技術者試験などの実際
 の資格試験の問題と分かりやすい解説が記されています。

 無料で勉強できるのに、登録しないのは勿体無いですよ。
 勉強は、コツコツが本当に大事なので、今すぐ申し込んで、
 勉強できる環境を作ってしまうのが重要です

       (もっと詳しく見る)初級ネットワーク講座


 イ 入力中の文字がデータベースヘの問合せや操作において特別な意味をもつ
  文字として解釈されないようにする。

> ア:サニタイジング(無害化)の説明です。
> イ:SQLインジェクション攻撃の対策の説明です。
> ウ:クロスサイトスクリプティング攻撃の対策の説明です。
> エ:バッファオーバフロー攻撃の対策の説明です。
> http://www.k4.dion.ne.jp/~type_f/SW_20A_AM/SW_20A_AM_73.html

 どうもありがとうございます。

> SQLインジェクションの対策
> バインド機構やエスケープ処理を適切に使用し、正しく実装する
> http://thinkit.co.jp/article/847/1

 どうもありがとうございます。

> ア:open関数に対するセキュリティ対策
> イ:メタ文字 'を''に変更したりするのが有名。
> ウ:サニタイジングのこと。クロスサイトスクリプト等に有効
  < を <、 > を >& を & に変更する
> エ:バッファオーバーフロー対策

 どうもありがとうございます。

> SQLインジェクションは,データベースと連動したWebページで,データベース
> への問い合わせや操作を行なうプログラムに,パラメタとしてSQL文の断片を
> 送り込むことにより,データベースを誤動作させて不正に情報を入手する攻撃
> です。これを防ぐには,入力した文字列にSQL文の一部が含まれていたら,
> それを取り除いてそのSQL文が実行されないようにします。
> つまり,データベースへの問合せや操作において特別な意味をもつ文字を
> 取り除くことを行います。
> http://www.kimura-kouichi.com/security/sv/h19/sv19ae5.htm#41
> http://www.kimura-kouichi.com/security/su/h20/20aman3.htm#26

 どうもありがとうございます。

> SQLインジェクション
> アプリケーションのセキュリティ上の不備を意図的に利用し、
> アプリケーションが想定しないSQL文を実行させることにより、
> データベースシステムを不正に操作する攻撃方法のこと。
> また、その攻撃を可能とする脆弱性のこと。
> http://bit.ly/cOXxcf @http://ja.wikipedia.org
>
> 想定しないSQL文を実行させることで発生する為、、
> SQL文に含まれるような文字をSQLコマンドとして解釈されなければいいのでイ

 どうもありがとうございます。

> 【SQLインジェクション】
> エスキューエルインジェクション
> SQL injection
>  悪意あるユーザーが、SQLというデータベース照会言語を用いて、Webサービス
> で提供されているデータベースに不正なアクセスを試みる手口。
>  例えばキーワードとして名前を入力し、住所や電話番号を検索するというWeb
> サービスでは、通常は以下のようなやり取りが行われる。
>  まずユーザーが入力欄に名前(キーワード)を入力して「検索」ボタンを押
> す。すると、Webブラウザーは入力されたキーワードをWebサーバー上で動作して
> いるWebアプリケーションに送る。Webアプリケーションは、受け取ったキーワー
> ドを基にデータベースを検索するためのSQL文を作る。つまり、Webアプリケー
> ションはデータベースを検索する命令(SQL文)を、キーワードが入力されるた
> びに作成している。データベースはこの命令(SQL文)に従ってデータを検索
> し、結果をWebアプリケーションに返す。
>  SQLインジェクションでは、悪意あるユーザーがキーワードにSQL文そのものを
> 入力する。入力データをきちんとチェックしないWebアプリケーションの場合、
> 入力された不正なSQL文をそのまま実行してしまい、例えばすべてのデータを消
> してしまうなどの操作が可能だ。データベースを直接操作できると、このほかに
> も情報を取り出したり、ウイルスをダウンロードさせる仕掛けを埋め込んだりす
> ることができる。
> 『日経パソコン用語事典2011』p.383
> http://pc.nikkeibp.co.jp/word/page/10102112/

 どうもありがとうございます。


▽ 午後2試験の対策方法

午後試験にも通用する知識習得には コレ!!
無料で購読出来ます。  試さないと、勿体無いですよ。

情報セキュリティスペシャリスト参考書

ベンダー試験 格安受験チケット