基本情報技術者試験 基本情報技術者試験 令和元年度 科目A 修了認定試験 午前 問43: 安全な Web アプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。

基本情報技術者試験 令和元年度 科目A 修了認定試験
Q 4343 / 80
安全な Web アプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。
攻撃対策
SQL インジェクションSQL 文の組立てに静的プレースホルダを使用する。
クロスサイトスクリプティング任意の外部サイトのスタイルシートを取り込めるようにする。
クロスサイトリクエストフォージェリリクエストに GET メソッドを使用する。
セッションハイジャック利用者ごとに固定のセッション ID を使用する。
この問の正解率:63.68%(1,374件)
この問題の本文・選択肢・正解・解説(展開)

問題本文

安全な Web アプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。

選択肢

  • .攻撃: SQL インジェクション/対策: SQL 文の組立てに静的プレースホルダを使用する。
  • .攻撃: クロスサイトスクリプティング/対策: 任意の外部サイトのスタイルシートを取り込めるようにする。
  • .攻撃: クロスサイトリクエストフォージェリ/対策: リクエストに GET メソッドを使用する。
  • .攻撃: セッションハイジャック/対策: 利用者ごとに固定のセッション ID を使用する。

正解

. 攻撃: SQL インジェクション/対策: SQL 文の組立てに静的プレースホルダを使用する。

解説

SQL インジェクション対策として、静的プレースホルダ(バインド機構)を使用すれば、入力値が SQL 文の構造に影響しないよう適切に処理される。

選択肢ごとの解説

  • .SQL インジェクション対策として静的プレースホルダは適切=正解。
  • .任意の外部サイトのスタイルシート取込みはむしろ XSS の温床となる。
  • .CSRF 対策に GET メソッドを使うのは不適切(GET は副作用なし操作に限定すべき)。
  • .セッションハイジャック対策として固定セッション ID を使うのは不適切。

基本情報技術者試験 令和元年度 科目A 修了認定試験過去問一覧へ戻る・問43