HOME»ソフトウェア開発技術者平成20年春期»午前 問70
ソフトウェア開発技術者平成20年春期 午前 問70
問70
SQLインジェクション対策として行う特殊文字の無効化操作はどれか。
- クロスサイトスクリプティング
- サニタイジング
- パケットフィルタリング
- フィッシング
分類 :
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解 :
イ
解説 :
サニタイジングは、ユーザーの入力値を受け取り処理するWebアプリケーションにおいて、入力値の中に含まれる攻撃用コードを無害化する処理です。
Webサイトの入力欄に入力される文字列の中には、HTMLやSQL文の中では特別な意味を持つ場合があります。これらの文字は、通常の文章として入力されたものであっても、そのまま処理すると、プログラムがそれを単なる文字はなく、命令やHTMLタグの一部として解釈してしまい、攻撃につながるおそれがあります。このような意図しない動作を防ぐために、適切なタイミングで有効なサイタイジングを行うことは、Webアプリケーションを攻撃から守る基本的かつ重要な対策です。
したがって「イ」が正解です。
Webサイトの入力欄に入力される文字列の中には、HTMLやSQL文の中では特別な意味を持つ場合があります。これらの文字は、通常の文章として入力されたものであっても、そのまま処理すると、プログラムがそれを単なる文字はなく、命令やHTMLタグの一部として解釈してしまい、攻撃につながるおそれがあります。このような意図しない動作を防ぐために、適切なタイミングで有効なサイタイジングを行うことは、Webアプリケーションを攻撃から守る基本的かつ重要な対策です。
したがって「イ」が正解です。
- クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。
- 正しい。サニタイジングは、利用者がWebサイトなどに入力した文字列を、プログラムやデータベース処理で安全に扱える形に変換することです。
- パケットフィルタリングは、パケットのIPアドレスやポート番号によって通過の可否を判断しますが、データ部については検証を行わないので正当なHTTPリクエストに攻撃文を含めるSQLインジェクションを防ぐことはできません。
- フィッシングは、銀行やクレジットカード会社,ショッピングサイトなどの有名企業を装ったメールを送付し、個人情報を不正に搾取する行為です。