Question

ディレクトリトラバーサル攻撃はどれか。

Accepted Answer

入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して，攻撃者が，上位のディレクトリを意味する文字列を入力して，非公開のファイルにアクセスする。。ディレクトリトラバーサル攻撃は、入力されたファイル名に「../」など上位ディレクトリを指す文字列を含めることで、本来アクセスできない非公開ファイルへ不正にアクセスする攻撃です。アはOSコマンドインジェクション、イはSQLインジェクションの説明です。正解はエ。

Answer

OS の操作コマンドを利用するアプリケーションに対して，攻撃者が，OS のディレクトリ作成コマンドを渡して実行する。

Answer

SQL 文のリテラル部分の生成処理に問題があるアプリケーションに対して，攻撃者が，任意の SQL 文を渡して実行する。

Answer

シングルサインオンを提供するディレクトリサービスに対して，攻撃者が，不正に入手した認証情報を用いてログインし，複数のアプリケーションを不正使用する。

Answer

入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して，攻撃者が，上位のディレクトリを意味する文字列を入力して，非公開のファイルにアクセスする。