基本情報技術者試験 基本情報技術者試験 令和元年度 科目A 修了認定試験 午前 問43: 安全な Web アプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。

基本情報技術者試験 令和元年度 科目A 修了認定試験
Q 4343 / 80
安全な Web アプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。
攻撃対策
SQL インジェクションSQL 文の組立てに静的プレースホルダを使用する。
クロスサイトスクリプティング任意の外部サイトのスタイルシートを取り込めるようにする。
クロスサイトリクエストフォージェリリクエストに GET メソッドを使用する。
セッションハイジャック利用者ごとに固定のセッション ID を使用する。
この問の正解率:63.68%(1,374件)

解説

基本情報技術者試験 令和元年度 科目A 修了認定試験 問43「安全な Web アプリケーションの作り方について、攻撃と対策の適切な組合せはどれ…」の正解と解説です。基本情報技術者試験の「Webセキュリティ」分野の過去問で、これまでの受験者の正答率は約64%です。

正解

. 攻撃: SQL インジェクション/対策: SQL 文の組立てに静的プレースホルダを使用する。

正答率 63.7%(1,374人中 875人が正解)

問題の解説

SQL インジェクション対策として、静的プレースホルダ(バインド機構)を使用すれば、入力値が SQL 文の構造に影響しないよう適切に処理される。

選択肢ごとの解説

  • SQL インジェクション対策として静的プレースホルダは適切=正解。
  • 任意の外部サイトのスタイルシート取込みはむしろ XSS の温床となる。
  • CSRF 対策に GET メソッドを使うのは不適切(GET は副作用なし操作に限定すべき)。
  • セッションハイジャック対策として固定セッション ID を使うのは不適切。

基本情報技術者試験 令和元年度 科目A 修了認定試験 の過去問一覧に戻る・問43

基本情報技術者試験 の iOS アプリ版

アプリ版なら、よりスムーズに動作し、
スワイプで問題遷移ができます。

基本情報技術者試験 合格.dev を App Store でダウンロード