HOME»情報処理安全確保支援士掲示板»令和4年 秋期午後2問2の前半部
投稿する

令和4年 秋期午後2問2の前半部 [1443]

 非SEさん(No.1) 
本問のようにXSS脆弱性をURLを入力することで診断する場合、
画面遷移時にGETリクエスト、POSTリクエストを利用していようが
どちらでも有効なURLになるのでしょうか。
URLの後ろにdescription,refURLの形式で記述すればレスポンスに値を挿入できることを攻撃者はどのように知るのでしょうか。

的を得ていない質問かもしれませんが、プログラミング力がほぼなく、イメージしづらいです。
2024.03.24 20:11
pixさん(No.2) 
SC ダイヤモンドマイスター
恐縮ですが、質問は「令和4年 秋期午後2問2」であっていますか。
質問に該当する部分が見つけられませんでした。
2024.03.24 20:36
 非SEさん(No.3) 
この投稿は投稿者により削除されました。(2024.03.24 20:42)
2024.03.24 20:42
 非SEさん(No.4) 
令和【3】年 秋期午後2問【1】の前半部の誤りでした。
お手数おかけします
2024.03.24 20:43
pixさん(No.5) 
SC ダイヤモンドマイスター
>本問のようにXSS脆弱性をURLを入力することで診断する場合、
>画面遷移時にGETリクエスト、POSTリクエストを利用していようが
>どちらでも有効なURLになるのでしょうか。
すみませんが、質問の意図を汲み取れませんでした。本問はGETとパラメタを用いて
XSSの検査をしています。POSTはどこからでてきたのでしょうか。

>URLの後ろにdescription,refURLの形式で記述すればレスポンスに値を
>挿入できることを攻撃者はどのように知るのでしょうか。
攻撃者は実際にdescription,refURLパラメタに設定してみて、確認したと
思われます。特別なことをしたわけではありません。
2024.03.24 21:06
 非SEさん(No.6) 
pix様回答ありがとうございます。
本問ではGET,POSTと明示的に指示されていないものと認識しています。
ただ、パラメタ指定をしている時点でGETであることが確定しているのでしたら私の問題は的外れということになると思います。
2024.03.24 21:28
pixさん(No.7) 
SC ダイヤモンドマイスター
>本問ではGET,POSTと明示的に指示されていないものと認識しています。
>ただ、パラメタ指定をしている時点でGETであることが確定しているのでしたら
>私の問題は的外れということになると思います。
図3 (1)には「URLをWebブラウザのアドレスバーに入力し、」とあります。
原則としてWebブラウザのアドレスバーはGETリクエストになります。
POSTリクエストはできません。

また、GETリクエストはURLにパラメタを付けてデータを送信します。
POSTリクエストはリクエストボディ部分にデータを格納して送信します。
2024.03.24 21:37

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop