More Related Content
Similar to ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題 (6)
More from Hiroshi Tokumaru (20)
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
- 4. 問題1 – 解説
• 正解は 3
• クッキーをHTTPのみで送信強制する方法はありま
せん。
• クッキーの発行時にCSRF脆弱性を防止する機能と
してSameSite属性が実装されていますが、タイミン
グ的に徳丸本2版には間に合いませんでした
• JavaScriptから当該クッキーを参照できなくなるす
るのがHttpOnly属性の機能です
• クッキーを異なるオリジンからアクセスできるよう
にする機能候補としてdomain属性がありますが、
ドメイン(effective TLD)を超えた共有はできませ
ん
4
- 6. 問題2 – 解説
• 正解は 3
• /etc/passwd へのアクセス制御は現実的に難しいことと、
他のファイルへのアクセスには効果がないので緩和策と
しても効果が少ないです
• この文脈ではファイル名のエスケープ処理はできません
• basename関数を用いて外部から入力されたファイル名
にディレクトリ名が含まれないようにする…これが正解
です(本番試験では特定言語の関数名は原則として出ま
せん)
• Apache等の設定を見直し、ファイルの一覧が表示され
ないことを確認する…これはディレクトリ・リスティン
グの禁止で、意図しないファイル公開への緩和策ですが、
ディレクトリトラバーサルには効果がありません
6
- 9. 問題3 – 解説
• 正解は 2
• X-Frame-Optionsヘッダと最も関連の深い脆弱性は
クリックジャッキングで、コンテンツがframe /
iframe に入ることを防ぎます。
9