情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅰ 問13: 安全な Web アプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
←情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅰ
安全な Web アプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
| 攻撃 | 対策 |
|---|
| ア | SQL インジェクション | SQL 文の組立てに静的プレースホルダを使用する。 |
| イ | クロスサイトスクリプティング | 任意の外部サイトのスタイルシートを取り込めるようにする。 |
| ウ | クロスサイトリクエストフォージェリ | リクエストに GET メソッドを使用する。 |
| エ | セッションハイジャック | 利用者ごとに固定のセッション ID を使用する。 |
問題本文
安全な Web アプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
選択肢
- ア.SQL インジェクション:SQL 文の組立てに静的プレースホルダを使用する。
- イ.クロスサイトスクリプティング:任意の外部サイトのスタイルシートを取り込めるようにする。
- ウ.クロスサイトリクエストフォージェリ:リクエストに GET メソッドを使用する。
- エ.セッションハイジャック:利用者ごとに固定のセッション ID を使用する。
正解
ア. SQL インジェクション:SQL 文の組立てに静的プレースホルダを使用する。
解説
Webアプリの攻撃と対策の正しい組合せを問う。SQLインジェクションには、値をSQL構文と分離する静的プレースホルダ(バインド機構)が最も確実な対策でアが正解。他の3つは対策が逆効果か攻撃を助長する。実務ではプレースホルダの徹底、出力時のエスケープ、CSRFトークン、セッションID再発行が基本の防御パターンとなる。
選択肢ごとの解説
- ア.静的プレースホルダは値をSQL構文と分離し注入を防ぐ確実な対策で正解。
- イ.外部サイトのスタイルシート取込みはXSSを助長し、対策どころか脆弱化で誤り。
- ウ.CSRF対策はトークン付与等が必要で、GET使用はむしろ攻撃を容易にし誤り。
- エ.固定セッションIDはハイジャックを招くため、対策ではなく脆弱化で誤り。
情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅰ の過去問一覧へ戻る・問13