情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

「自動診断ツールでは診断対象画面に存在する全てのパラメタのうち、入力した値が次画面で取り扱われるものだけが診断可能である。」
とのことだとすれば、"ID"、"mail"は表６の項番１で入力した値が項番２で表示されていますよね。
もしこれが対象とならないのであれば、"name"、"address"も項番４で入力した値が項番５で表示されているのですが同じではないですか？

気になったので、IPA「安全なウェブサイトの作り方」こちらを参考に内部処理も調べました。仮登録も本登録も次画面で入力した値をDBに書き込む処理が必要です。更に仮登録の場合、通常は"ID"、"mail"の重複チェックも行っております。

この設問と答えは間違っていませんか？

「H２４秋午後２」の間違いですよね。

正しいかどうかは分かりませんが、個人的な見解としては、
・次画面で取り扱われるものだけが診断可能
・問題文中に「表6の項番5の”新規会員本登録(2)”画面に出力で二つのパラメタにスクリプト及びタグが挿入可能であると指摘された」と記載されている。
・表6の項番5の”新規会員本登録(2)”画面で出力されているが、前画面には存在しないパラメタ
となると、、"ID"、"mail"が答えになるのではと考えます。

この投稿は投稿者により削除されました。(2018.10.19 01:08)

さくらさくさん、はじめまして。
解説ありがとうございます。

どうも日本語が分からないのですが、

・表6の項番5の”新規会員本登録(2)”画面で出力されているが、前画面には存在しないパラメタ
ということですが
「自動診断ツールでは診断対象画面に存在する全てのパラメタのうち、入力した値が次画面で取り扱われるものだけが診断可能である。」
という前提からすると、次画面ではなく前画面へすり替わってませんか？

b-zero1さん。
すみません、説明が下手なので分かりにくかったようです。

・「次画面で取り扱われるものだけが診断可能」ですので、項番4→項番5の画面遷移では、"name"、"address"、"tel"は次画面で取り扱われており診断可能。診断による脆弱性は発見されていない。
・項番5の”新規会員本登録(2)”画面で、2つのパラメタに脆弱性ありの指摘。→診断されていないパラメタが怪しい。

以上が私の判断根拠です。間違っていたら、すみません。

さくらさくさん、解説ありがとうございます。
とてもよくわかりました！