今回のテーマは、「Webアプリケーションにおけるセキュリティ上の脅威とその対策」である。
令和5年度 情報セキュリティマネジメント試験 公開問題 科目 A・B
問7 Web アプリケーションにおけるセキュリティ上の脅威とその対策に関する記述のう
ち,適切なものはどれか。
ア OS コマンドインジェクションを防ぐために,Web アプリケーションが発行するセッション ID に推測困難な乱数を使用する。
イ SQL インジェクションを防ぐために,Web アプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。
ウ クロスサイトスクリプティングを防ぐために,Web サーバ内のファイルを外部から直接参照できないようにする。
エ セッションハイジャックを防ぐために,Web アプリケーションからシェルを起動できないようにする。
答えを確認する
正解は イ です。
Webアプリケーションの代表的な脅威と対策 には、以下のものがある。
Webアプリケーションの脅威と対策
| 脅威 | 脅威の内容 | 対策 |
|---|---|---|
| OSコマンドインジェクション | Webアプリケーションからシェルを通じて、不正なOSコマンドを実行する攻撃 | Webアプリケーションからシェルを起動できないようにする。 |
| SQLインジェクション | Webアプリケーションを通じて、データベースを不正に操作する攻撃 | Webアプリケーション内でデータベースへの問合せを作成する際にプレースホルダを使用する。 |
| クロスサイトスクリプティング | 利用者のブラウザ上で不正なスクリプトを実行させる攻擊 | 利用者からの入力データをWebページに出力する際は、適切にエスケープ処置をする。 |
| セッションハイジャック | 利用者のセッションIDを盗聴・推測などで盗み取り、セッションを乗っ取る攻撃 | Webアプリケーションが発行するセッションIDを推測困難なものにする。 |
| ディレクトリトラバーサル | Webアプリケーションを通じて、任意のファイルを読み書きする攻撃 | Webサーバ内のファイルを外部から直接参照できないようにする。 |
ア 誤り。
セッションハイジャックを防ぐための対策である。
イ 正解
ウ 誤り。
ディレクトリトラバーサルを防ぐための対策である。
エ 誤り。
OSコマンドインジェクションを防ぐための対策である。
(解法のポイント)
重要論点である。整理しておこう。
コメント