10/11/07 16:45:10
みなたんお待たせしまんた~(´・∀・)ノシ
午後2問1こんななりました(ノ∀`)つ
設問1
a.ア b.ウ
さっぱりわからん(ノ∀`)ジャバなんぞ知るかw
設問2
(1)上流への後戻りが発生した場合、プロジェクト上大きな工数がかかるから
下流工程の脆弱性テストだけじゃなく設計工程からチェックしろというのはよく言われるのでこれが問題あるのはなんとなくわかるんだが、説明するのが難しい
ポイントは「プロジェクトマネジメント上」というところか
つまり脆弱性テストだけに頼るのは、設計工程など上流工程までの後戻りが発生したときの工数が大きくなるとか、大きな遅れにつながるとか、そんなことを説明できてればいいんだと思う
(2)Webアプリケーションのセキュリティ上の設計ミスやプログラム中の脆弱性の発見
これはいまいちわからなかったんで、その後の〔アプリケーション設計のレビュー〕を参考にさせてもらったw
セキュリティ上のチェックだけとは限らない、と言われそうだが、そもそもセキュリティの試験であるし、本当にソフトウェア開発の設計上のレビューの内容を答えさせるのだとしたらAPの方で出すべき問題では?少なくともセキュリティとまったく関係ない解答はおかしいと思う
(3)Webアプリケーションプログラムの動作確認やセキュリティホール、コーディングルール違反の発見
これも同様によーわからんかったwので、その後の〔SQLインジェクション脆弱性の発見と対策〕から下記の材料を発掘
「Z社から提出を受けていたチェック結果には“コーディングルールに適合”と記入」
「コーディングルール違反をレビューで見逃したまま」
後は適当に思いつく言葉でごまかした(ノ∀`)
設問3
(1)USR_IDのVALUE属性の値に、他の店舗の従業員の利用者IDをセットしたHTTPリクエスト
HTTPリクエストの内容で55字だから結構具体的なものが求められると思われる
要はUSR_IDのVALUE属性の値として他の店舗の従業員の利用者IDをセットしたHTTPリクエストを送りさえすれば、すんなりSQL文で処理されてしまうというわけ
(2)従業員選択画面のリストで選択した従業員氏名と、送られてきた利用者IDが対応しているかどうかのチェック
これを防ぐには、従業員選択画面のリストで選択した従業員氏名と利用者IDが一致しているかどうかのチェックを入れればよい