AP過去問 令和7年度春期 午前 問36
AP過去問 令和7年度春期 午前 問35前の問題へ
AP過去問 令和7年度春期 午前 問37次の問題へ
問36(問題文)
Web サーバの口グを分析したところ,Web サーバへの攻撃と思われるHTTPリクエストヘッダーが記録されていた。次の肝TP リクエストヘッダーから推測できる,攻撃者が悪用しようとしていた可能性が高い脆弱性はどれか。ここで, HTTP リクエスト ヘッダー中の “%20” は空白を意味する。
〔HTTP リクエストヘッダーの一部〕
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: (省略)
Host: test.example.corn
Connect ion: Keep-Alive
ア HTTPヘッダーインジェクション(HTTP Response Splitting)
イ OSコマンドインジェクション
ウ SQL インジェクション
エ クロスサイトスクリプティング
回答・解説
アは❌間違いです。HTTPヘッダーインジェクション(HTTP Response Splitting) HTTPヘッダーインジェクションは、リクエストやレスポンスに不正なヘッダーを挿入する攻撃です。この場合、HTTPリクエストヘッダー中にコマンドを挿入しようとしているため、この攻撃の種類とは異なります。したがって、適切ではありません。
イは✅正しいです。OSコマンドインジェクション 「;cat /etc/passwd」のように、URL内にUnix系OSのコマンドを直接含めることで、サーバーがそのコマンドを実行するように仕向ける攻撃です。cat /etc/passwdは、サーバー上のパスワード情報を表示するコマンドであり、この攻撃はOSコマンドインジェクションに該当します。攻撃者がこの脆弱性を悪用しようとしている可能性が高いです。
ウは❌間違いです。SQLインジェクション SQLインジェクションは、データベースに対する不正なSQLクエリを挿入する攻撃ですが、今回のリクエストヘッダーにSQL文の構造は含まれていません。したがって、この選択肢は不正解です。
エは❌間違いです。クロスサイトスクリプティング クロスサイトスクリプティング(XSS)は、悪意のあるJavaScriptコードをウェブページに挿入し、ユーザーのブラウザで実行させる攻撃です。しかし、今回のリクエストヘッダーにはJavaScriptコードの挿入は見当たらないため、この選択肢も不正解です。
AP過去問 令和7年度春期 午前 問35前の問題へ
AP過去問 令和7年度春期 午前 問37次の問題へ