【解説】WEBアプリケーションセキュリティ対策( セキュアド 平成18年 午後U問1)
→問題を見る
この設問では、webアプリケーションの脆弱性をテーマにしています。SQLインジェクション攻撃を受けた際の対処方法と再発防止策について問われています。
設問1
答え:[a-オ、b-キ、c-ウ、d-DNS、e-エ]
【空欄a】
DBMSのバインド機構は、プレースフォルダと呼ばれる特殊文字を使用しSQL文のひな形を用意しておき、後で変数を割り当てSQL文を完成させるものです。自動でエスケープ処理が行われるのでエスケープ処理を意識する必要がありません。
【空欄b】
ホワイトリスト方式とあるので、正常時の通信のみを通過させる方式であると判断できます。
【空欄c】
セッション管理方法として、擬じ乱数を使用してクッキーなどに格納する方法があります。
【空欄d】
上位のDNSサーバも含めたすべてのDNSサーバのレコード情報が不正アクセスによって書き換えられていなことを定期的に確認することで、ドメイン乗っ取りの早期発見が可能になります。
【空欄e】
ルートディレクトリをアクセス可能にしてしまうと、すべての情報が丸見えになってしまうので、ここには固定が入ります。
設問2
(1)答え:[メモリに記録されている情報から原因を推測できなくなるため]
メモリ(RAM)の情報は、シャットダウンや再起動で内容が失われしまいます。
(2)答え:[告知用のWEBサイト窓口の設置]
メールマガジンを購読していない、もしくはメールサービスを利用できないユーザへの告知用WEBサイトや連絡窓口を設置する必要があります。
設問3
答え:[利用者によって入力された記号や数字がSQL文にとって特別な意味を持つ場合]
エスケープ処理の対象となるのは、SQLに限った事ではありませんが、フォーム画面で入力された文字列・記号・数字がシステムにとって特別な意味を持つ場合になります。これらを把握・排除することでシステムの誤動作やセキュリティインシデントを未然に防ぐことが可能になります。
設問4
(1)答え:[問題:エラーメッセージからシステム情報を攻撃者に知られてしまう 、対策:エラーメッセージの表示の抑制]
(2)答え:[顧客情報が漏えいする 、 システムの脆弱性情報が拡散する]
顧客の情報は問題解決には必要でないため、送信する必要はない。また正式に発注していない関係で生の情報を送ってしまったているのは問題です。
(3)答え:[必要な作業:A社の受注システムを対象とするリスク評価 、 生じる問題:固有のリスクに対応したセキュリティ対策が行えない]
一般書籍から情報を収集しているため、A社固有のリスク評価ができておらず、それに対するセキュリティ対策が漏れる可能性がある。
設問5
答え:[セキュリティ事故に関する情報を日常的に収集する 、 収集した事故例がシステムへ与える影響範囲を速やかに評価する]
日常的にセキュリティ情報を収集し、自社システムとの関連を検討します。関連するものについては、その事例がどのような影響をもたらすのかを評価します。影響があるのであれば適切な対応を講じます。
→問題を見る
|
|
スポンサードリンク
|