応用情報技術者試験 平成30年春 午前問38 解説付き過去問
問題
ディレクトリトラバーサル攻撃はどれか。
正解
解説
ディレクトリトラバーサル攻撃は、ウェブアプリケーションがユーザーからの入力を適切に検証またはサニタイズせずにファイルシステムにアクセスする際に発生するセキュリティ侵害です。この問題は、その攻撃の具体的なシナリオとその他の攻撃タイプを区別する知識をテストします。
- ディレクトリトラバーサルの定義
ディレクトリトラバーサル(またはパス・トラバーサル)攻撃とは、攻撃者がファイルシステム上で許可されていないディレクトリにアクセスするために、相対ディレクトリパス(例えば「../」)を使用する行為です。この技法を使うことで、攻撃者はシステム上の重要なファイルにアクセスしたり、セキュリティ設定を変更したりする可能性があります。 - 他の選択肢との比較
他の選択肢では、OSコマンドインジェクション、SQLインジェクション、および認証情報の不正使用に関連するシナリオが示されています。これらはいずれも重要なセキュリティ脅威ですが、ディレクトリトラバーサル攻撃とは異なる技術または状況を利用しています。ディレクトリトラバーサルは具体的にはファイルシステムの構造を悪用することに焦点を当てています。
したがって、ディレクトリトラバーサル攻撃の正確な例は、入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して、攻撃者が上位のディレクトリを意味する文字列(例:「../」)を入力することによって、非公開またはアクセスが制限されているファイルに不正にアクセスするケースです。