セキュリティ実装技術 (全74問中67問目)
No.67
SQLインジェクション対策として行う特殊文字の無効化操作はどれか。
出典:平成20年春期 問70
- クロスサイトスクリプティング
- サニタイジング
- パケットフィルタリング
- フィッシング
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
イ
解説
サニタイジング(sanitizing)は、ユーザーの入力値を受け取り処理するWebアプリケーションにおいて、入力データ中のスクリプトやコマンドとして特別な意味を持つ文字があった場合、HTML出力やコマンド発行の直前でエスケープ処理し無害化する操作です。
- クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。
- 正しい。
- パケットフィルタリングは、パケットのIPアドレスやポート番号によって通過の可否を判断しますが、データ部については検証を行わないので正当なHTTPリクエストに攻撃文を含めるSQLインジェクションを防ぐことはできません。
- フィッシングは、銀行やクレジットカード会社,ショッピングサイトなどの有名企業を装ったメールを送付し、個人情報を不正に搾取する行為です。