読者です 読者をやめる 読者になる 読者になる

技術士の技事録

情報工学部門の技術士が、IT技術動向、資格対策等を、勝手気ままに語ります。

技術士第一次試験専門科目 平成26年度 Ⅲ-31

技術士試験 一次試験 専門科目

問題

Webアプリケーションに対する攻撃の1つに,リクエスト強要(Cross-siteRequestForgery)がある。これは,別のサイトに用意したコンテンツ上の民のリンクを踏ませること等をきっかけとして,インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃である。この攻撃への対策として,最も適切なものはどれか。

選択肢

他者が推定困難なランダム値をhiddenフィールドとして埋め込んでおき,フォームデータを処理する際に,フォームデータ内にその値が含まれていることを確認する。
プログラム中のデータをHTMLドキュメントに出力する際に,タグや属性値を表現する特殊文字について,HTMLエンティティを表現する記法に置換する。
別のプログラムを呼び出す際に与えるパラメータについて,文字種を英数字のみ等の安全なものに限定し,検査してから渡す。
文字列連結演算を用いてSQL文の途中へ値を埋め込む際に,特殊記号の効力を打ち消すよう,エスケープ処理を実施する。
ユーザがログインに成功した時点でまったく新しいセッションIDを発行し,それまでのセッションIDを無効にする。

 

答え

 ①

解説

 

次の問題へ専門科目TOPへ技術士TOPへ