ソフトウェアの脆弱性タイプの一覧は、CWE(Common Weakness Enumeration) として公開されています。\nWebサーバーを開発したら、注意すべき脆弱性攻撃とその対策について調べられるようにしておくことが重要です。\n\nWebサーバーのFORM入力画面を入り口として入力した文字列の検証が不十分なことにより、本来アクセスできないデータにアクセスしたり、データを削除・変更したりする脆弱性攻撃は、CWE-20 Improper Input Validation（不適切な入力確認）として分類されています。\n\n例題にある ../ は一つ上のディレクトリを示す文字列です。../../のように../を繰り返すことで上に上がり、そこから下に目的のディレクトリ名とファイル名を注入して、本来ならアクセスできないファイルに攻撃するので、../攻撃とも呼ばれています。CWE-20の分類の１つCWE-22パストラバーサルとして割り当てられており、ディレクトリトラバーサルとも呼ばれているCが正解です。\n\nAのOSコマンドインジェクションCWE-78もCWE-20の一つで、悪意のあるコマンドを注入してOSのコマンドを実行する攻撃で、不正解です。\n\nBのSQLインジェクションCWE-89もCWE-20の一つで、データベースをアクセスする標準言語SQLに悪意のある文字列を注入してデータアクセスを実行する攻撃で、不正解です。\n\nDのクロスサイトスクリプティングCWE-79もCWE-20の一つで、Javascriptに悪意のある処理を注入してJavascriptを実行する攻撃で、不正解です。\n\nEのHTTPヘッダインジェクションは、CWE-113のImproper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')に分類され、HTTPヘッダに悪意のある文字列を注入して罠サイトに誘導したりする攻撃で、不正解です。\n\n../攻撃は、褒められた行為ではありませんが、HTML5 Level 1 に合格したら、つぎは一つ上のLevel 2 を目指すことは良い目標になると思います。

💾 ✔️