ア 入力から,上位ディレクトリを指定する文字列(../)を取り除く。
イ 入力中の文字がデータベースヘの問合せや操作において特別な意味をもつ
文字として解釈されないようにする。
ウ 入力に HTML タグが含まれていたら,解釈,実行できないほかの文字列に
置き換える。
エ 入力の全体の長さが制限を超えていたときは受け付けない。
『ネットワーク分野が苦手な方へ』
「初級ネットワーク講座」は毎週1回、メールで配信される無料講座です。 「1.ネットワークの基礎解説」と「2.基礎解説の復習を兼ねた問題」 という構成です。 「1.ネットワークの基礎解説」では、多くのイラストが使用され、初心者でも 理解しやすい文章で丁寧に解説されています。 「2.基礎解説の復習を兼ねた問題」では、情報処理技術者試験などの実際 の資格試験の問題と分かりやすい解説が記されています。 無料で勉強できるのに、登録しないのは勿体無いですよ。 勉強は、コツコツが本当に大事なので、今すぐ申し込んで、 勉強できる環境を作ってしまうのが重要です。 (もっと詳しく見る)初級ネットワーク講座 |
イ 入力中の文字がデータベースヘの問合せや操作において特別な意味をもつ
文字として解釈されないようにする。
> ア:サニタイジング(無害化)の説明です。
> イ:SQLインジェクション攻撃の対策の説明です。
> ウ:クロスサイトスクリプティング攻撃の対策の説明です。
> エ:バッファオーバフロー攻撃の対策の説明です。
> http://www.k4.dion.ne.jp/~type_f/SW_20A_AM/SW_20A_AM_73.html
どうもありがとうございます。
> SQLインジェクションの対策
> バインド機構やエスケープ処理を適切に使用し、正しく実装する
> http://thinkit.co.jp/article/847/1
どうもありがとうございます。
> ア:open関数に対するセキュリティ対策
> イ:メタ文字 'を''に変更したりするのが有名。
> ウ:サニタイジングのこと。クロスサイトスクリプト等に有効
< を <、 > を >& を & に変更する
> エ:バッファオーバーフロー対策
どうもありがとうございます。
> SQLインジェクションは,データベースと連動したWebページで,データベース
> への問い合わせや操作を行なうプログラムに,パラメタとしてSQL文の断片を
> 送り込むことにより,データベースを誤動作させて不正に情報を入手する攻撃
> です。これを防ぐには,入力した文字列にSQL文の一部が含まれていたら,
> それを取り除いてそのSQL文が実行されないようにします。
> つまり,データベースへの問合せや操作において特別な意味をもつ文字を
> 取り除くことを行います。
> http://www.kimura-kouichi.com/security/sv/h19/sv19ae5.htm#41
> http://www.kimura-kouichi.com/security/su/h20/20aman3.htm#26
どうもありがとうございます。
> SQLインジェクション
> アプリケーションのセキュリティ上の不備を意図的に利用し、
> アプリケーションが想定しないSQL文を実行させることにより、
> データベースシステムを不正に操作する攻撃方法のこと。
> また、その攻撃を可能とする脆弱性のこと。
> http://bit.ly/cOXxcf @http://ja.wikipedia.org
>
> 想定しないSQL文を実行させることで発生する為、、
> SQL文に含まれるような文字をSQLコマンドとして解釈されなければいいのでイ
どうもありがとうございます。
> 【SQLインジェクション】
> エスキューエルインジェクション
> SQL injection
> 悪意あるユーザーが、SQLというデータベース照会言語を用いて、Webサービス
> で提供されているデータベースに不正なアクセスを試みる手口。
> 例えばキーワードとして名前を入力し、住所や電話番号を検索するというWeb
> サービスでは、通常は以下のようなやり取りが行われる。
> まずユーザーが入力欄に名前(キーワード)を入力して「検索」ボタンを押
> す。すると、Webブラウザーは入力されたキーワードをWebサーバー上で動作して
> いるWebアプリケーションに送る。Webアプリケーションは、受け取ったキーワー
> ドを基にデータベースを検索するためのSQL文を作る。つまり、Webアプリケー
> ションはデータベースを検索する命令(SQL文)を、キーワードが入力されるた
> びに作成している。データベースはこの命令(SQL文)に従ってデータを検索
> し、結果をWebアプリケーションに返す。
> SQLインジェクションでは、悪意あるユーザーがキーワードにSQL文そのものを
> 入力する。入力データをきちんとチェックしないWebアプリケーションの場合、
> 入力された不正なSQL文をそのまま実行してしまい、例えばすべてのデータを消
> してしまうなどの操作が可能だ。データベースを直接操作できると、このほかに
> も情報を取り出したり、ウイルスをダウンロードさせる仕掛けを埋め込んだりす
> ることができる。
> 『日経パソコン用語事典2011』p.383
> http://pc.nikkeibp.co.jp/word/page/10102112/
どうもありがとうございます。
▽ 午後2試験の対策方法
午後試験にも通用する知識習得には コレ!!
無料で購読出来ます。 試さないと、勿体無いですよ。
情報セキュリティスペシャリスト参考書
ベンダー試験 格安受験チケット