H23_aki_AP_PM Q09 Ans.

平成23年 秋期 応用情報技術者 午後 問9
解答例・解答の要点
設問 1
a (POST)
b (GET)
設問 2
scriptタグを無効にする
または
悪意のあるコードを実行させない
設問 3
(④,⑤)
設問 4

会員情報の登録や変更、注文処理などの重要な処理については、
必ずログを記録する。

解説
設問 1
a,b
HTTPにおいてページアクセスには
GETメゾットかPOSTメゾットを使います。
両方とも、パラメタ(サーバへ渡す付加情報)を使えるが
GETメゾットは、付加情報がURLに含まれて付加されるので
第3者から丸見えになる。
一方
POSTメゾットはhiddenパラメタを使い情報を隠せるので
秘密情報のやり取りに利用できる。
したがって
a (POST)
b (GET)

設問 2
[想定される原因]
(1)
会員掲示板ページを出力する処理に問題があり、
この問題を悪用した<script>タグを用いた悪意のあるコードが、
会員掲示板ページに埋め込まれた形跡があった。

悪意のあるコードが実行されないようにするために
[対策の提言]
(1)
入力された文字列は、そのままではなく、
エスケープ処理を適切に施してから
ブラウザに表示する。

という対策を施したので
scriptタグを無効にする
または
悪意のあるコードを実行させない

設問 3
クロスサイトリクエストフォージェリー
(Cross Site Request Forgeries:CSRF)
悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,
別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃

Webサーバ側とクライアント側の処理の中で
サーバが生成した秘密情報を照合キーとして
クライアント側の要求が
正当なユーザのものであるかを確認する必要がある。
したがって
クライアント側からの実行要求(図2)⑤には、
秘密情報を含ませていなければならない。
すると
サーバ側がクライアント側に秘密情報を送信するのは
その直前になるので
確認画面出力④になる。
よって
(④,⑤)

設問 4
攻撃を検出するために有効な対策を選択する。

ア 攻撃を受けた後の処理です。
イ 暗号化しても攻撃を検知できない。
エ 会員番号の割当てのことです。

ウ 正しい
ログとはアクセス内容の記録で
この中にはさまざまな情報が保管されている。
ログを取得することで、不自然なリクエストを検知することが
可能になる。

よって

会員情報の登録や変更、注文処理などの重要な処理については、
必ずログを記録する。

一覧に戻る

ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント