問題
テクノロジ系
問95 SQL インジェクションの対策などで用いられ,処理の誤動作を招かないように,利用者が Web サイトに入力した内容に含まれる有害な文字列を無害な文字列に置き換えることを何と呼ぶか。
選択肢
- アMAC アドレスフィルタリング
- イサニタイジング
- ウストライピング
- エソーシャルエンジニアリング
解説
正解:イ
概要
この問題は,Webアプリケーションへの入力データの有害な文字列を無害化する処理の名称を問うものです。Webセキュリティの基本的な対策技術を正しく理解することがポイントです。
正解の理由
サニタイジングとは,Webアプリケーションへの入力データに含まれる,SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃に悪用される可能性のある特殊文字や有害な文字列を無害な文字列に置き換える処理です。イが正解です。
各選択肢の解説
ア(×): MACアドレスフィルタリングは,ネットワークへのアクセスを特定のMACアドレスに限定するセキュリティ機能です。
イ(〇): サニタイジングが正解です。入力値の無害化によって不正な命令の実行を防止します。
ウ(×): ストライピングは,RAIDにおいてデータを複数のディスクに分散書き込みする技術です。
エ(×): ソーシャルエンジニアリングは,人間の心理的な隙をついて情報を不正に入手する手法です。
ポイント
サニタイジングの代表例として,HTMLの特殊文字(<, >, &, "など)をHTMLエンティティ(<, >など)に変換することで,XSS攻撃を防止します。SQLインジェクション対策としては,入力値のエスケープ処理やプリペアドステートメントの使用が有効です。