解ける人の思考回路 | Trace the evidence

令和4年度 春期 情報処理安全確保支援士試験 午後Ⅰ 問1

Webアプリ開発会社H社を舞台に、脆弱性検査(HTTPヘッダ/SQL/メールヘッダの各インジェクション)と、社内Web「Sシステム」のアクセス制御を題材にした問題。クエリ文字列で受け取ったプロジェクトIDを検証せず使う「なりすまし参照」と、その根治(セッションからの取得+プレースホルダ)を「どこを見る → 思考の流れ → 答え」で追います。
← 一覧