1.アプリケーションセキュリティに関する過去問
H18SU午後Ⅱ問1の「図5 セキュリティ強化提案書」の穴埋めにチャレンジしよう。
|
↓
↓
↓
↓
↓
d以外は選択式なので、答えをズバリ書くのは難しかったかと思う。
答えは以下。
c 疑似乱数
d ネーム 又は DNS
e 固定
2.Webサイトにおける一般的な情報セキュリティ問題と対策
アプリケーションセキュリティ対策の中心になるのがWebアプリケーションのセキュリティ対策である。なぜなら、社外に公開するアプリケーションはWebベースのものが多いからだ。
一方、社内にはWebアプリケーション以外にもクライアントサーバ型のアプリケーションが多く存在しますが、社内運用であれば社外に公開しないため、セキュリティ面のリスクは低減されます。
H20SU午後Ⅰ問4にて、「Webサイトにおける一般的な情報セキュリティ問題と対策」が掲載されている。
表 Webサイトにおける一般的な情報セキュリティ問題と対策
|
||||||||||||||||||||||||||||||
↓
↓
↓
↓
↓
a、b、cの穴埋めにもチャレンジしてみよう。
正解は以下です。
a ハードニング
b エスケープ処理 又は サニタイジング
c ファイル名を直接指定
少し補足します。aのハードニング(hardening)とは、hard(硬い)という言葉の通り、サーバを硬く(要塞化)することです。bのエスケープ処理に関しては、以下を確認ください。
#4.SQLインジェクション対策 サニタイジング(エスケープ)処理
3.Webサーバに対する脅威
情報処理安全確保支援士試験の過去問(H23春SC午後Ⅱ問2)の「Web検査の主な検査項目と内容」を紹介する。Web検査の項目はつまり、一般的なWebへの脅威そのものだ。
「検査する脆弱性の内容」から、空欄の「検査項目」を答えてほしい。
| 検査項目 | 検査する脆弱性の内容 |
| オブジェクトの直接参照 | 存在を明示していないコンテンツやアプリケーションのデータファイルが,ディレクトリやファイル名,パックアップファイルなどを指定してアクセスされる脆弱性 |
| [ a ] | HTML出力文字列のエスケープ処理が不適切な場合,攻撃者の作成した不正なリンクによってWebサイトを閲覧した利用者のブラウザ上でスクリプトが実行される脆弱性 |
| [ b ] | 利用者のブラウザによって,利用者の意図しないリクエストがWebサーバに送信され,ログイン中の利用者にだけ許可されたWebサイトの機能が勝手に実行される脆弱性 |
| HTTPヘッダインジェクション | 外部から渡されたパラメタをレスポンスのHTTPヘッダに反映する場合,不正なヘッダを生成されたり,レスポンスボディに不正な文字列を挿入されたりする脆弱性 |
| [ c ] | 入力フォームのパラメタなどへの不正な文字列挿入によって, SQL文やOSのコマンドが不正に実行される脆弱性 |
| 不正メール送信 | パラメタ文字列をメールヘッダに反映して電子メールを送信する場合,スパムメール送信などに利用される脆弱性 |
| [ d ] | パス文字列の処理が不適切な場合,攻撃者の不正な入力によって,管理者がアクセスを想定していないファイルにアクセスされる脆弱性 |
| 不適切なセッション管理 | クッキーなどを利用したセッション管理が不適切な場合,なりすましによる不正なアクセスが発生する脆弱性 |
↓
↓
↓
↓
↓
正解は以下である。
a クロスサイトスクリプティング
b クロスサイトリクエストフォージェリ
c SQLインジェクション・OSコマンドインジェクション
d パス(ディレクトリ)トラバーサル