<< December 2018 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 >>
<< テクニカルエンジニア(情報セキュリティ) 予想問題集 午後1 問1-4 | main | テクニカルエンジニア(情報セキュリティ) 予想問題集 午後1 問1-6 >>

テクニカルエンジニア(情報セキュリティ) 予想問題集 午後1 問1-5

設問1
強制ブラウジングとは、ブラウザのURL入力欄に直接URLを入力し、公開してい(るつもりの)ないファイルを参照することである。

  • 公開したくないファイルは公開用ディレクトリに置かない
  • 強制ブラウジングを行う者は、ファイル名を予想してURL欄に入力するため、ファイル名を予想できないものにする


設問2
データ中の危険な文字を安全な文字に置き換える処理をサニタイジングという。ただし、サニタイジングという言い方には異論があるので「エスケープ処理」の方が妥当か?
文字列“>”をエスケープ処理するときには、
~s/</&lt;/g;
~s/&/&amp;/g;
の順に実行すると、“>”→“&lt;”→“&amp;lt;”と変換されてしまい、“&lt;”をエスケープ処理したものと区別がつかなくなるので、~s/&/&amp;/g;
~s/</&lt;/g;
の順に実行する。

設問3
セッションIDが漏えいしないためには、クッキーをsecure属性にし、httpsで通信が行われている場合にだけ使用されるようにする。
また、セッションIDを悪用されないように、

  • ログイン後にセッションIDを発行するようにし、ユーザ以外にセッションIDを与えないようにする
  • セッションIDを類推されないように、乱数やハッシュ値を使う
などの対策がある。
ss2004 * テクニカルエンジニア(情報セキュリティ) * 21:28 * comments(0) * trackbacks(0)

コメント

コメントする









トラックバック

このページの先頭へ