ディレクトリトラバーサル攻撃に該当するものはどれか。

攻撃者が，Web アプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し，管理者の意図しない SQL 文を実行させる。

攻撃者が，パス名を使ってファイルを指定し，管理者の意図していないファイルを不正に閲覧する。

攻撃者が，利用者を Web サイトに誘導した上で，Web アプリケーションによる HTML 出力のエスケープ処理の欠陥を悪用し，利用者の Web ブラウザで悪意のあるスクリプトを実行させる。

セッション ID によってセッションが管理されるとき，攻撃者がログイン中の利用者のセッション ID を不正に取得し，その利用者になりすましてサーバにアクセスする。