読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ午前攻略メタキン! (3)インジェクション

広告

頻出問題っす。とーってもよく出る内容です。

「SQLインジェクション」
フォームに不正な命令文を入れ、SQLの命令であるかの
ようにし、SQL文を実行させ、情報を引き出します。


対策としては
プレースホルダ(バインド機構)
・エスケープ処理
がありますが、これはあとで説明しますね。


「OSコマンドインジェクション」
同様に、フォームにOSコマンドらしき命令を入れ、実行
させてしまうことをいいます。OSというと、systemコマ
ンドだけかと思いますが、実はperlPHPのプログラムも
動作させるパターンがあります。


対策としては先程から言っているとおり、
プレースホルダとエスケープ処理なんですが、


エスケープ処理とは
フォームに入力した命令文などの特別な意味を持った言葉
を他の文字に置き換えることで、OSコマンドやSQLコ
マンドとして解釈されないようにすることです。


これはXSSにも有効な対策になりますので、覚えてくだ
さいね。


プレースホルダは、あらかじめ構文の解析をしちゃって、
データをあとから待ち受ける処理をします。


「田中くんが(   )食べるからな!」とだけ先に送っ
てあとで
(ごはん)と送ると
田中くんがご飯を食べるわけですが。たとえば(  )内
に不正な命令文(パスワードをみせる)とか書いても、意
味が通じないので実行できません。


SQLなのか、そうじゃないのかで2つを分けて考えてく
ださい。

にしのくえすと Presented by にしの 2017