読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27春午後1問1 問題解析(4)

広告

※この連載については「はじめに」で注意事項がございますので
 必ず読んでくださいね。

※設問はこちらから

criticalhit.hateblo.jp

f:id:koharuwest:20151202220229p:plain

第3話「脆弱性に関するディスカッション」
ここでインジェクションの話が出てきますね。そして設問らしき下線が。
この前後って実は問題を解答するときの作文に使えることが多いです。


図7と図8
コードを直すと
<html>
<body>
<script>
alert("1")
みたいな感じになるのかな。
検査コードの変換は全部はやりません。内容が想像できればいいので。
予想通り実行されちゃうんだー、ふーん。なるほど。

f:id:koharuwest:20151202220245p:plain

f:id:koharuwest:20151202220548p:plain


検索文字列にスクリプトをぶっ込む攻撃が可能であると。
これを防ぐには二通り。
・APIを使ってヘッダ不要にする
・エスケープ処理でヘッダで特定の文字列を無効にする
その通りのことが書いてあるかと思います。

セッション管理についても同じセッション番号を維持すると、アブナイ
です。クッキーモンスターは特定のブラウザでクッキーをきちんと維持
できない問題です。

にしのくえすと Presented by にしの 2017