- トップページ
- 情報セキュリティスペシャリスト
- 平成29年度秋季問題一覧
- 平成29年度秋季問題14-解答・解説-分析
平成29年度秋季問題
問題14
攻撃者が,Webアプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として,最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | イ発行済セッションIDをCookieに格納する。 |
| ウ | ウ発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。 |
| エ | エパスワードによる利用者認証を行う。 |
攻撃者が,Webアプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として,最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | イ発行済セッションIDをCookieに格納する。 |
| ウ | ウ発行済セッションIDをHTTPレスポンスボディ中のリンク先のURIのクエリ文字列に設定する。 |
| エ | エパスワードによる利用者認証を行う。 |
解答:工
<解説>
Webアプリケーションのセッションが乗っ取られてしまったことが前提になっているので,通信の暗号化やIDの格納方法,設定方法は正答として正しくない。
古典的な方法だが,パスワードを設定することで対策できる。セッションの乗っ取り=パスワードの奪取ではありません。
お問い合わせ
