HOME»情報処理安全確保支援士掲示板»令和5年春午後2問1設問2(3)
投稿する
以下URLのNo.4の書込みを再掲載いたします。
https://www.sc-siken.com/bbs/1385.html
[1385] 令和5年春午後II問1設問2(3)
本設問はDASTツールの動作についてです。
DASTツールはインプットとして渡した値が、アウトプットとしてどう返ってくるかを
検査します。
入力したパラメータがエスケープされずにそのまま返ってきたらNGです。
入力したパラメータが正しくエスケープされて返ってきたらOKです。
例として「アンケート入力2」について考えてみます。
「アンケート入力2」画面では、商品の感想としてtextキーワードをWebサーバへ
引き渡します。
引き渡したtextキーワードは直後の「アンケート確認」画面でチェックすることが
できます。
まとめると、
・「アンケート画面2」でのチェック項目:textパラメータ
・直後の「アンケート確認」でチェック可能
となります。
しかしこれとは別に
・「アンケート画面1」でのチェック項目:last_nameパラメータ,first_namパラメータ
・直後の画面は「アンケート2」画面のため、引き渡したした値が返ってこないため
チェック不可
・そのため、「アンケート画面1」のチェック対象は拡張機能を利用し、2画面先の
「アンケート確認」画面をチェックするようにする
となります。
つまり、直前の画面の入力項目を直後の画面で検査するのが基本動作です。
入力画面と出力画面が連続していない場合は、URLの拡張機能を利用することに
なります。
[1424] 令和5年春午後2問1設問2(3)
TaroYuiさん(No.1)
アンケート入力 1 からアンケート入力 2 に遷移する URL の拡張機能に、アン ケート確認の URL を登録する。
アンケート入力 1 の画面での入力値に起因する XSS を二つ先の画面(図 2 の「ア ンケート確認」)でエスケープ処理されずに出力されていたが、Z さんはそれを検 出できなかった。図 1 の機能を見ると、(2-3)に「診断対象 URL の応答だけでな く、別の URL の応答も判定対象になる」とあることから、これを設定すれば検 出できると考えられる。
是の意味が分からないです。
アンケート確認の画面にXSSの脆弱性があるのは分かりました。
なぜアンケート画面のURLは自動登録されないのでしょうか。
アンケート入力 1 からアンケート入力 2 に遷移する URL の拡張機能
というのも分からない
よろしくお願いいたします
アンケート入力 1 の画面での入力値に起因する XSS を二つ先の画面(図 2 の「ア ンケート確認」)でエスケープ処理されずに出力されていたが、Z さんはそれを検 出できなかった。図 1 の機能を見ると、(2-3)に「診断対象 URL の応答だけでな く、別の URL の応答も判定対象になる」とあることから、これを設定すれば検 出できると考えられる。
是の意味が分からないです。
アンケート確認の画面にXSSの脆弱性があるのは分かりました。
なぜアンケート画面のURLは自動登録されないのでしょうか。
アンケート入力 1 からアンケート入力 2 に遷移する URL の拡張機能
というのも分からない
よろしくお願いいたします
2024.03.19 15:21
pixさん(No.2)
★SC ダイヤモンドマイスター
最近以下のスレッドで同様の質問がありました。
参考にしてください。
https://www.sc-siken.com/bbs/1385.html
[1385] 令和5年春午後II問1設問2(3)
参考にしてください。
https://www.sc-siken.com/bbs/1385.html
[1385] 令和5年春午後II問1設問2(3)
2024.03.19 15:30
TaroYuiさん(No.3)
pixさん
解答ありがとうございます。
アンケート確認の画面をアンケート①からアンケート②へ遷移するURLの診断対象としているということでよろしいのでしょうか。
アンケート確認画面が大丈夫なら問題ないということかな
よろしくお願いいたします。
解答ありがとうございます。
アンケート確認の画面をアンケート①からアンケート②へ遷移するURLの診断対象としているということでよろしいのでしょうか。
アンケート確認画面が大丈夫なら問題ないということかな
よろしくお願いいたします。
2024.03.19 15:46
pixさん(No.4)
★SC ダイヤモンドマイスター
>アンケート確認の画面をアンケート①からアンケート②へ遷移するURLの診断対象
>としているということでよろしいのでしょうか。
>アンケート確認画面が大丈夫なら問題ないということかな
>よろしくお願いいたします。
以下URLのNo.4の書込みを再掲載いたします。
https://www.sc-siken.com/bbs/1385.html
[1385] 令和5年春午後II問1設問2(3)
本設問はDASTツールの動作についてです。
DASTツールはインプットとして渡した値が、アウトプットとしてどう返ってくるかを
検査します。
入力したパラメータがエスケープされずにそのまま返ってきたらNGです。
入力したパラメータが正しくエスケープされて返ってきたらOKです。
例として「アンケート入力2」について考えてみます。
「アンケート入力2」画面では、商品の感想としてtextキーワードをWebサーバへ
引き渡します。
引き渡したtextキーワードは直後の「アンケート確認」画面でチェックすることが
できます。
まとめると、
・「アンケート画面2」でのチェック項目:textパラメータ
・直後の「アンケート確認」でチェック可能
となります。
しかしこれとは別に
・「アンケート画面1」でのチェック項目:last_nameパラメータ,first_namパラメータ
・直後の画面は「アンケート2」画面のため、引き渡したした値が返ってこないため
チェック不可
・そのため、「アンケート画面1」のチェック対象は拡張機能を利用し、2画面先の
「アンケート確認」画面をチェックするようにする
となります。
つまり、直前の画面の入力項目を直後の画面で検査するのが基本動作です。
入力画面と出力画面が連続していない場合は、URLの拡張機能を利用することに
なります。
2024.03.19 16:05
TaroYuiさん(No.5)
pixさん回答ありがとうございました。
無事納得することができました。
無事納得することができました。
2024.03.19 17:21