2021年 春期 情報処理安全確保支援士 午前II 問12

安全なWebアプリケーションの作り方について、攻撃と対策の適切な組合せはどれか。

攻撃 対策
SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。
クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるようにする。
クロスサイトリクエストフォージェリ リクエストにGETメソッドを使用する。
セッションハイジャック 利用者ごとに固定のセッションIDを使用する。


答え ア


解説

 ア  SQLインジェクションの対策には、SQL文の組立てをプレースホルダを使用し、そのプレースホルダを静的なものにすることが有効です。
 イ  クロスサイトスクリプティング(Cross Site Scripting、XSS)の対策には、Webサイトのユーザー入力データから、スクリプトに使われる特殊文字の入力を無効する処理(サニタイジング)を行います。
 ウ  クロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF、XSRF)の対策には、処理を実行するページをPOSTメソッドでアクセスするようにします。
 エ  セッションハイジャック(session hijacking)の対策には、セッションIDを推測困難なものにします。
安全なWebサイトの作り方はIPAのサイトで公開されています。
URL //www.ipa.go.jp/security/vuln/websecurity.html


キーワード
・SQLインジェクション

キーワードの解説
  • SQLインジェクション
    Webサイトでユーザーが入力した値をデータベースに問合せを行うような処理があるとき、悪意のあるユーザーが指定する入力値(入力データ)にSQL文を指定することで、データベースへの不正なアクセスを行う攻撃のことです。

もっと、「SQLインジェクション」について調べてみよう。

戻る 一覧へ 次へ