わく☆すたブログ TOP
2022年(令和4年)12月20日(火)に,「情報処理安全確保支援士試験及び情報処理技術者試験(高度試験の組込み分野)における出題構成等の変更について」が発表され,来年(令和5年)秋期から,情報処理安全確保支援士試験,エンベデッドシステムスペシャリスト試験,ITストラテジスト試験,及びシステムアーキテクト試験の実施形式に変更があります。また,「情報処理技術者試験における出題範囲・シラバス等の変更内容の公表について(基本情報技術者試験、情報セキュリティマネジメント試験の通年試験化)」にあるとおり,2023年(令和5年)4月から,基本情報技術者試験と情報セキュリティマネジメント試験の出題形式に大幅な変更が行われ,通年でCBT受験できるようになります。令和5年の試験に向けて,今までと異なる点を中心にまとめていきます。
情報処理試験問題に学ぶJavaScriptのXSS対策
指摘事項A中の(a)は、他を見なくても「セキュア」属性だと分かりますね。徳丸本(体系的に学ぶ 安全なWebアプリケーションの作り方)では、4.8.2クッキーのセキュア属性不備(P209)に説明があります。 指摘事項Bは、ここだけ読むと、XSSのようでもあり、サーバーサイドのスクリプトインジェクションのようでもありますが、検査ログからXSSであることがわかります(下図はIPAからの引用)。XSSは、徳丸本4.3.1クロスサイトスクリプティング(基本編)と4.3.2クロスサイトスクリプティング(発展編)にて説明しています。 ここまでは、ごく基本的な問題ですが、問題文P6に出てくる以下の部分は、少しだけひねってますね。 このプログラムは、利用者が入力した文字列をダイアログに表示するために、受け取ったパラメタの値をスクリプトに埋め込み、動的にスクリプトを生成する。図4の( c )行目では
情報処理推進機構
平成20年度秋期試験 (10月19日(日)実施) ○ 受験票は、9月29日(月)に発送しました。 10月3日(金)になっても到着しない場合は、 「受験を希望した試験地」を担当する支部または本部 に電話で照会してください。 ○ 受験票が到着したときは、直ちに内容を確認してください。 ○ 案内書(21頁〜)の注意事項をよく読み、記載してあるとおりに対応してください。
IPA 独立行政法人 情報処理推進機構
IPAの“今”がわかる広報誌IPA NEWSは、IPAの活動状況や注力事業などをわかりやすくご紹介する広報誌。セキュリティ対策情報やDX推進に役立つ情報などをまとめてお届けしています。最新号の公開をメールでお届けするサービスをご利用いただけます。 サイバーセキュリティお助け隊サービス中小企業のサイバーセキュリティ対策に不可欠な各種サービスを、ワンパッケージで安価に提供するサービスです。サイバーセキュリティお助け隊サービスのサービス利用料は、IT導入補助金で支援が受けられます。 マナビDX「マナビDX」は、デジタルスキルを身につける講座を紹介するポータルサイトです。 はじめての方でもデジタルスキルを学ぶことのできる学習コンテンツを紹介します。 また、掲載している講座の中には、受講費用等の補助が受けられる講座もあります。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
