今日の気づき　～はひふへほ～

今日気づいたことを、軽いタッチで、コミカルに表現してみました。パソコンやITに関することも時々書いています。　　　　　　　　　　

コマンド注入

2022年04月18日20:18

令和３年度　技術士第一次試験問題　情報工学部門　Ⅲ－３０

Ⅲ－３０

Webアプリケーションに対する攻撃の1つに、クロスサイトリクエストフォージェリ (CSRF) がある。これは、別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃である。この攻撃への対策として、最も適切なものはどれか。

①　HTMLを出力する際に、要素や属性値を表現するときに使われる特殊文字を、エスケープする。

②　SQL文を組み立てる際に、プレースホルダを用いる。

③　他者が推定困難なランダム値 (トークン) をhiddenフィールドとして埋め込んでおき、フォームデータを処理する際に、フォームデータ内にその値が含まれていることを確認する。

④　別のファイルを開く際に与えるパラメータについて、文字種を英数字のみ等の安全なものに限定する。

⑤　ユーザの認証に成功した時点で新しいセッションIDを発行し、それまでのセッションIDを無効にする。

答えはこちら

タグ：: クロスサイトリクエストフォージェリ; コマンド注入; SQLインジェクション; セッションID; クロスサイトスクリプティング

ファーストマクロのＨＰ

ファーストマクロＨＰ

楽天市場

カテゴリ別アーカイブ

技術士(情報工学) (360)

　R03一次試験 (35)

　R02一次試験 (35)

　R01一次試験[再] (35)

　R01一次試験 (35)

　H30二次試験 (20)

　H30一次試験 (35)

　H29二次試験 (20)

　H29一次試験 (35)

　H28二次試験 (20)

　H28一次試験 (35)

　H27二次試験 (20)

　H27一次試験 (35)

情報処理技術者 (1710)

　R01秋基本情報技術者 (80)

　H31春基本情報技術者 (80)

　H30秋基本情報技術者 (80)

　H30春基本情報技術者 (80)

　H29秋基本情報技術者 (80)

　H29春基本情報技術者 (80)

　H28秋基本情報技術者 (80)

　H28春基本情報技術者 (80)

　H27秋基本情報技術者 (80)

　R04春応用情報技術者 (80)

　R03秋応用情報技術者 (80)

　R03春応用情報技術者 (80)

　R02秋応用情報技術者 (80)

　R01秋応用情報技術者 (80)

　H31春応用情報技術者 (80)

　H30秋応用情報技術者 (80)

　H30春応用情報技術者 (80)

　H29秋応用情報技術者 (80)

　H29春応用情報技術者 (80)

　H28秋応用情報技術者 (80)

　H28春応用情報技術者 (80)

　H28春高度情報技術者 (30)

PC Tips (118)

　WORD Tips (32)

　EXCEL Tips (86)

今日の気づき (1689)

　はー？ (280)

　ひー！ (404)

　ふ～！ (433)

　へ～！ (325)

　ほ～！ (247)

記事検索

人気記事

Archives

最新記事

令和４年度春期応用情報技術者試験問題問８０

令和４年度春期応用情報技術者試験問題問７９

令和４年度春期応用情報技術者試験問題問７８

令和４年度春期応用情報技術者試験問題問７７

令和４年度春期応用情報技術者試験問題問７６

令和４年度春期応用情報技術者試験問題問７５

令和４年度春期応用情報技術者試験問題問７４

令和４年度春期応用情報技術者試験問題問７３

令和４年度春期応用情報技術者試験問題問７２

令和４年度春期応用情報技術者試験問題問７１

訪問者数

今日：
昨日：
累計：

Recent Comments

GSL Green Site License