問題一覧
1
①サンドボックス ②AccessController, SecurityManager ③カプセル化
2
①ヒープ領域:動的に確保可能なメモリ領域 ②new演算子:メモリ確保の演算子 ③delete演算子:メモリ解放の演算子
3
※次回説明追加(250605) ①反射型XSS ②格納型XSS ③DOMベースのXSS
4
①悪意のあるスクリプトが埋め込まれたリンクをクリック ②リンク先にアクセスすると、文字列として認識されなかったスクリプトを含むレスポンスが返る ③クライアント側でスクリプトが実行され、マルウェア感染等の被害を受ける
5
①サニタイジング(置換) ②プロペアドステートメント(バインド機構)を利用
6
①脆弱性のある関数を使わない。 strcpy -> strncpy strcat -> strncat gets -> fgets sprintf -> snprint vsprintf -> vsnprintf ②データの大きさをチェックするコーディング
7
①認証機能つきのWEBサーバにログインする ②ログイン状態で悪意あるサイトの罠ページにアクセスし、リンククリック等によって攻撃リクエストがログイン中のWEBサーバに送信される ③ログイン中のWEBサーバで利用者の意図しない操作が実行される
8
①Cookieとは別のトークンを使用する←間違えやすい(250702) ②hiddenパラメータに秘密情報を挿入し、実行処理前後の画面で値が一致することを確認する ③処理実行前にパスワードを再入力する ④Refererが正しいリンク元かを確認する
9
①CIS Benchmarks ②OWASP ASVS ③CERT コーディングスタンダード
問題一覧
1
①サンドボックス ②AccessController, SecurityManager ③カプセル化
2
①ヒープ領域:動的に確保可能なメモリ領域 ②new演算子:メモリ確保の演算子 ③delete演算子:メモリ解放の演算子
3
※次回説明追加(250605) ①反射型XSS ②格納型XSS ③DOMベースのXSS
4
①悪意のあるスクリプトが埋め込まれたリンクをクリック ②リンク先にアクセスすると、文字列として認識されなかったスクリプトを含むレスポンスが返る ③クライアント側でスクリプトが実行され、マルウェア感染等の被害を受ける
5
①サニタイジング(置換) ②プロペアドステートメント(バインド機構)を利用
6
①脆弱性のある関数を使わない。 strcpy -> strncpy strcat -> strncat gets -> fgets sprintf -> snprint vsprintf -> vsnprintf ②データの大きさをチェックするコーディング
7
①認証機能つきのWEBサーバにログインする ②ログイン状態で悪意あるサイトの罠ページにアクセスし、リンククリック等によって攻撃リクエストがログイン中のWEBサーバに送信される ③ログイン中のWEBサーバで利用者の意図しない操作が実行される
8
①Cookieとは別のトークンを使用する←間違えやすい(250702) ②hiddenパラメータに秘密情報を挿入し、実行処理前後の画面で値が一致することを確認する ③処理実行前にパスワードを再入力する ④Refererが正しいリンク元かを確認する
9
①CIS Benchmarks ②OWASP ASVS ③CERT コーディングスタンダード