HOME»情報処理安全確保支援士掲示板»令和4年春午後2問1設問6(4)
投稿する

令和4年春午後2問1設問6(4) [1785]

 支援士さん(No.1) 
模範解答は「csrf対策用トークン発行、htmlの埋め込み、必要な紐付け、及びこれを検証する処理」ですが、この回答の通り書ける人はいるのでしょうか?

①csrf対策用トークン発行
 →これは書ける

②htmlの埋め込み
 →問題文にヒントもなく、出て来ない

③必要な紐づけ
 →そもそも「必要な」というのが回答になっていないように思う。

④これを検証する処理
 →観点は①と同じでは?

私が出来る精一杯の回答

利用者idやセッションidに紐付けたcsrfトークンを発行し、そのトークンを検証する処理

これだと部分点になるでしょうか
2024.11.30 14:53
ひらさん(No.2) 
httpがステートレスである、CSRFトークンを検証するための具体的な方法を知っているかを問う問題かと思います。
プログラム(例えばPHPなど)での処理は以下のようになります。
1. (遷移前ページ)csrfトークンを発行しセッション変数に入れる(これが必要な紐付けという意味だと思われる)
2. (遷移前ページ)inputタグのtype属性にhiddenを付与し、value属性にcsrfトークンを指定しPOSTで送付(HTMLへの埋め込み)
3. ユーザーがsubmitボタンをクリックすると別ページに遷移(POSTでcsrfトークンが送付される)
4. (遷移後ページ)セッション変数とPOSTデータの比較などで検証(検証する処理)

文字数を考慮すると解答例のような感じになるのかもしれませんが、
R6春から文字数制限がない問題がほとんどなので正しいことをしっかりと書くことが重要になると思います。

採点基準がブラックボックスなので部分点がもらえるかはわかりません。
2024.12.03 11:05
 支援士さん(No.3) 
ありがとうございます。文字数制限を気にせず詳しく書けるようになる、まで知識を深めないと行けないですね。
2024.12.03 20:59
返信投稿用フォーム
お名前
顔アイコン

本文(コミュニティガイドライン⇱を順守して適切な投稿を心がけましょう)
🔐投稿削除用のパスワード
投稿プレビュー
※SQL文は全角文字で記載してください。
※宣伝や迷惑行為を防止するため、当サイト、姉妹サイト、IPAサイト以外のURLを含む文章の投稿はできません。
投稿記事削除用フォーム
投稿No. パスワード 
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop