「AP過去問 令和7年度春期 午前 問36」の版間の差分
(ページの作成:「AP過去問 令和7年度春期 午前 問題に戻る AP過去問 令和7年度春期 午前 問35前の問題へ AP過去問 令和7年度春期 午前 問37次の問題へ =='''問36(問題文)'''== ア イ ウ エ =='''回答・解説'''== AP過去問 令和7年度春期 午前 問35前の問題へ AP過去問 令和7年度春期 午前 問37次の問題…」) |
編集の要約なし |
||
| 8行目: | 8行目: | ||
=='''問36(問題文)'''== | =='''問36(問題文)'''== | ||
Web サーバの口グを分析したところ,Web サーバへの攻撃と思われるHTTPリクエストヘッダーが記録されていた。次の肝TP リクエストヘッダーから推測できる,攻撃者が悪用しようとしていた可能性が高い脆弱性はどれか。ここで, HTTP リクエスト | |||
ヘッダー中の “%20” は空白を意味する。 | |||
〔HTTP リクエストヘッダーの一部〕 | |||
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1 | |||
Accept: */* | |||
Accept-Language: ja | |||
UA-CPU: x86 | |||
Accept-Encoding: gzip, deflate | |||
User-Agent: (省略) | |||
Host: test.example.corn | |||
Connect ion: Keep-Alive | |||
ア HTTPヘッダーインジェクション(HTTP Response Splitting) | |||
イ OSコマンドインジェクション | |||
ウ SQL インジェクション | |||
エ クロスサイトスクリプティング | |||
=='''回答・解説'''== | =='''回答・解説'''== | ||
アは❌間違いです。HTTPヘッダーインジェクション(HTTP Response Splitting) | |||
HTTPヘッダーインジェクションは、リクエストやレスポンスに不正なヘッダーを挿入する攻撃です。この場合、HTTPリクエストヘッダー中にコマンドを挿入しようとしているため、この攻撃の種類とは異なります。したがって、適切ではありません。 | |||
イは✅正しいです。OSコマンドインジェクション | |||
「;cat /etc/passwd」のように、URL内にUnix系OSのコマンドを直接含めることで、サーバーがそのコマンドを実行するように仕向ける攻撃です。cat /etc/passwdは、サーバー上のパスワード情報を表示するコマンドであり、この攻撃はOSコマンドインジェクションに該当します。攻撃者がこの脆弱性を悪用しようとしている可能性が高いです。 | |||
ウは❌間違いです。SQLインジェクション | |||
SQLインジェクションは、データベースに対する不正なSQLクエリを挿入する攻撃ですが、今回のリクエストヘッダーにSQL文の構造は含まれていません。したがって、この選択肢は不正解です。 | |||
エは❌間違いです。クロスサイトスクリプティング | |||
クロスサイトスクリプティング(XSS)は、悪意のあるJavaScriptコードをウェブページに挿入し、ユーザーのブラウザで実行させる攻撃です。しかし、今回のリクエストヘッダーにはJavaScriptコードの挿入は見当たらないため、この選択肢も不正解です。 | |||
2025年4月25日 (金) 22:18時点における版
AP過去問 令和7年度春期 午前 問35前の問題へ
AP過去問 令和7年度春期 午前 問37次の問題へ
問36(問題文)
Web サーバの口グを分析したところ,Web サーバへの攻撃と思われるHTTPリクエストヘッダーが記録されていた。次の肝TP リクエストヘッダーから推測できる,攻撃者が悪用しようとしていた可能性が高い脆弱性はどれか。ここで, HTTP リクエスト ヘッダー中の “%20” は空白を意味する。
〔HTTP リクエストヘッダーの一部〕
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: (省略)
Host: test.example.corn
Connect ion: Keep-Alive
ア HTTPヘッダーインジェクション(HTTP Response Splitting)
イ OSコマンドインジェクション
ウ SQL インジェクション
エ クロスサイトスクリプティング
回答・解説
アは❌間違いです。HTTPヘッダーインジェクション(HTTP Response Splitting) HTTPヘッダーインジェクションは、リクエストやレスポンスに不正なヘッダーを挿入する攻撃です。この場合、HTTPリクエストヘッダー中にコマンドを挿入しようとしているため、この攻撃の種類とは異なります。したがって、適切ではありません。
イは✅正しいです。OSコマンドインジェクション 「;cat /etc/passwd」のように、URL内にUnix系OSのコマンドを直接含めることで、サーバーがそのコマンドを実行するように仕向ける攻撃です。cat /etc/passwdは、サーバー上のパスワード情報を表示するコマンドであり、この攻撃はOSコマンドインジェクションに該当します。攻撃者がこの脆弱性を悪用しようとしている可能性が高いです。
ウは❌間違いです。SQLインジェクション SQLインジェクションは、データベースに対する不正なSQLクエリを挿入する攻撃ですが、今回のリクエストヘッダーにSQL文の構造は含まれていません。したがって、この選択肢は不正解です。
エは❌間違いです。クロスサイトスクリプティング クロスサイトスクリプティング(XSS)は、悪意のあるJavaScriptコードをウェブページに挿入し、ユーザーのブラウザで実行させる攻撃です。しかし、今回のリクエストヘッダーにはJavaScriptコードの挿入は見当たらないため、この選択肢も不正解です。
AP過去問 令和7年度春期 午前 問35前の問題へ
AP過去問 令和7年度春期 午前 問37次の問題へ