基本情報&応用情報 問題と解説

アクセスカウンタ

zoom RSS H23_aki_AP_PM Q09 Ans.

<<   作成日時 : 2012/08/14 13:59   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

平成23年 秋期 応用情報技術者 午後 問9
解答例・解答の要点
設問 1
a (POST)
b (GET)
設問 2
scriptタグを無効にする
または
悪意のあるコードを実行させない
設問 3
(C,D)
設問 4

会員情報の登録や変更、注文処理などの重要な処理については、
必ずログを記録する。

解説
設問 1
a,b
HTTPにおいてページアクセスには
GETメゾットかPOSTメゾットを使います。
両方とも、パラメタ(サーバへ渡す付加情報)を使えるが
GETメゾットは、付加情報がURLに含まれて付加されるので
第3者から丸見えになる。
一方
POSTメゾットはhiddenパラメタを使い情報を隠せるので
秘密情報のやり取りに利用できる。
したがって
a (POST)
b (GET)

設問 2
[想定される原因]
(1)
会員掲示板ページを出力する処理に問題があり、
この問題を悪用した<script>タグを用いた悪意のあるコードが、
会員掲示板ページに埋め込まれた形跡があった。

悪意のあるコードが実行されないようにするために
[対策の提言]
(1)
入力された文字列は、そのままではなく、
エスケープ処理を適切に施してから
ブラウザに表示する。

という対策を施したので
scriptタグを無効にする
または
悪意のあるコードを実行させない

設問 3
クロスサイトリクエストフォージェリー
(Cross Site Request Forgeries:CSRF)
悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,
別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃

Webサーバ側とクライアント側の処理の中で
サーバが生成した秘密情報を照合キーとして
クライアント側の要求が
正当なユーザのものであるかを確認する必要がある。
したがって
クライアント側からの実行要求(図2)Dには、
秘密情報を含ませていなければならない。
すると
サーバ側がクライアント側に秘密情報を送信するのは
その直前になるので
確認画面出力Cになる。
よって
(C,D)

設問 4
攻撃を検出するために有効な対策を選択する。

ア 攻撃を受けた後の処理です。
イ 暗号化しても攻撃を検知できない。
エ 会員番号の割当てのことです。

ウ 正しい
ログとはアクセス内容の記録で
この中にはさまざまな情報が保管されている。
ログを取得することで、不自然なリクエストを検知することが
可能になる。

よって

会員情報の登録や変更、注文処理などの重要な処理については、
必ずログを記録する。

一覧に戻る

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
H23_aki_AP_PM Q09 Ans. 基本情報&応用情報 問題と解説/BIGLOBEウェブリブログ
文字サイズ:       閉じる