• プログラミング教室、小中高生、大人、コンピュータ科学

▼FE平成28年度春期:問37 SQLインジェクション攻撃の説明として、適切なものはどれか。

ア Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃。

イ Webサイトに対して、他のサイトを介して大量のパケットを送り付け、そのネットワークトラフィックを以上に高めてサービスを提供不能にする攻撃

ウ 確保されているメモリ空間の下限または上限を超えてデータの書込みと読出しを行うことによって、プログラムを異常終了させたデータエリアに挿入された不正なコードを実行させたりする攻撃

エ 攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し、当該ページ内のリンクをクリックしたときに、不正スクリプトを含む文字列が脆(ぜい)弱なWebサーバに送り込まれ、レスポンスに埋め込まれた不正スクリプトの実行によって、情報漏えいをもたらす攻撃

▼上に出てきた用語の意味
【SQLインジェクション攻撃 SQL Injection】アプリケーションのセキュリティ上の不備を利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法。(Wikipedia)

【インジェクション Injection】注入。注射。(Weblio 英和辞典)

【SQL 何かの略語ではない】関係データベース管理システム (RDBMS) において、データの操作や定義を行うためのデータベース言語(問い合わせ言語)。プログラミングにおいてデータベースへのアクセスのために、他のプログラミング言語と併用される。(Wikipedia)

▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。

表の出所 FEのシラバスから筆者が作成。

▼FEのシラバスでの位置付け
1.情報セキュリティ(7)攻撃手法:情報システム、組織及び個人への不正な行為と手法を理解する。
〔用語例〕・クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、クリックジャッキング、ドライブバイダウンロード、SQL インジェクション、ディレクトリトラバーサル
▼参照:本ブログの(29)と(24) 解答ア