暗号認証攻撃手法|規格




2009年07月19日

情報セキュリティスペシャリスト試験 (SC) 2009/春 午後T問3

 
情報セキュリティスペシャリスト試験 (SC) 2009/春 午後T問3


☆過去の問題でどんなものがでたのか?について「答え」から探っていきます。

情報セキュリティスペシャリスト試験 合格保証版



問3

設問1 [Webアプリのセキュリティに関する問題点]について(1)〜(3)に答えよ。


(1)本文中の下線@について、悪意を持つものが、どのようにして他人になりすますことができるのか。その方法を50字以内で具体的に述べよ。

------------------------------
答え:(1)cookieにセットされたセッション識別子のうち、会員番号部分を他人のものに入れかえる。

session-d = 20081223309804 なので、309804の部分を他の会員番号にすると・・・他人になりすますことができる・・・みたい。
要するに、ちらっとみて「あっ、会員番号なんだな」とわかるような識別子は、なにかと問題がでてくるということなんでしょうね。


(2)本文中の下線Bの原因となっている図3のプログラムの部分を、その行番号で答えよ。またどのように修正すればいいのかを25字以内で具体的に述べよ。ここで、a0.png〜a9.pngの画像ファイルは同じフォルダに配置されているものとする。

------------------------------
答え:(2)24(修正)httpの部分をhttpsにする

.pngファイルというところが、渋いですねぇ〜(関係ないか!?)情報セキュリティアドミニストレータ試験などでも、ブラウザの「鍵マーク」については最近よくとりあげられたようです。こういう問題がお好きなようで。


(3)本文中の下線Aの属性に該当するものを2つ挙げ、それぞれ15字以内で答えよ。

------------------------------
答え:(3)・タグのhref属性 ・タグのイベントハンドラ属性

aタグはアンカー(anchor)の略で、リンクの出発点ではhref属性でリンク先を指定します。イベントハンドラはマウスなどの動きに対して特定の処理を割り当てることですね。






-----------------------------------------------------------------
情報セキュリティ基礎
posted by 管理人さん2 at 20:38| Comment(0) | TrackBack(0) | 過去の問題 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック