• プログラミング教室、小中高生、大人、コンピュータ科学

▼FE平成29年度秋期:問39 SQLインジェクション攻撃の説明はどれか。

ア Webアプリケーションに問題がある時、悪意のある問合せや操作を行う命令文をWebサイトに入力して、データベースのデータを不正に取得したり改ざんしたりする攻撃。

イ 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃。

ウ 市販されているDBMSの脆弱性を悪用することによって、宿主となるデータベースサーバを探して感染を繰り返し、インターネットのトラフィックを急増させる攻撃。

エ 訪問者の入力データをそのまま画面に表示するWebサイトを悪用して、悪意のあるスクリプトを訪問者のWebブラウザで実行させる攻撃。

▼上に出てきた用語の意味
【SQLインジェクション攻撃 SQL Injection】アプリケーションのセキュリティ上の不備を利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法。(Wikipedia)

【インジェクション Injection】注入。注射。(Weblio 英和辞典)

【SQL 何かの略語ではない】関係データベース管理システム (RDBMS) において、データの操作や定義を行うためのデータベース言語(問い合わせ言語)。プログラミングにおいてデータベースへのアクセスのために、他のプログラミング言語と併用される。(Wikipedia)

【DBMS Data Base Management System】データベースを管理し、外部のソフトウェアからの要求に応えてデータベースの操作を行う専門のソフトウェア。(IT用語辞典 e-Words)

【クロスサイトリクエストフォージェリ cross-site request forgeries】Webアプリケーションの脆弱性の一つ、もしくはそれを利用した攻撃。略称はCSRF(シーサーフ)またはXSRF。(Wikipedia)上の選択肢のイに相当。

【フォージェリ forgery】偽造。捏造。(Weblio 英和辞典)

【クロスサイトスクリプティング cross site scripting】Webアプリケーションの脆弱性もしくはそれを利用した攻撃。略称はXSS。(Wikipedia)上の選択肢のエに相当。

▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。

表の出所 FEのシラバスから筆者が作成。

▼FEのシラバスでの位置付け
1.情報セキュリティ >(7)攻撃手法:情報システム、組織及び個人への不正な行為と手法を理解する。
[用語例] クロスサイトスクリプティングクロスサイトリクエストフォージェリ、クリッ
クジャッキング、ドライブバイダウンロード、SQL インジェクション、以下略。
解答ア