2020 秋 午前II 問01

Webサーバのログを分析したところ、 Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる、 攻撃者が悪用しようとしていた脆静性はどれか。ここで、 HTTPリクエストヘッダ中の “%20” は空白を意味する。

解説

IPA 公式公開の過去問です。

解答例や採点講評と合わせて根拠を確認してください。

選択肢

• ア: 〔HTTPリクエストヘッダの一部} GET /cgi-bin/submit.cgi?user=:cat%20/etc/passwd HTTP/1.1 Accept: ※/* Accept-Language: ja UA-CPU: x86 Accept-Encoding: gzip、 deflate User-Agent: (省略) Host: test.example.com Connection: Keep-Alive
• イ: HTTPヘッダインジェクション (HTTP Response Splitting) イ0Sコマンドインジェクション
• ウ: SQLインジェクション
• エ: クロスサイトスクリプティング