2006年01月25日

問題集でSQLインジェクションにかかる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策は、主に問題集を中心に今は取り組み中。今日は、午後1問題で、SQLに関するセキュリティだ。出版社制作のオリジナル問題である。

WEBで入力フォームを表示し、Javaプログラムを経由してデータベースにアクセスするという、ごく一般的な例である。与件にあたる問題文は、ソースコードや説明用のSQL文などもあって、異常に長い。まるで、研修用に作られたセキュリティ対策ビデオのような内容だ。上司のS課長が、担当のK君にさまざまなケースで注意を与えるというもの。

設問は逆にシンプルで、これも考えて解くというより、穴埋め問題に近い。あるいは、英語の教材に見られるような、「主語をyouからweに変えると、この文はどう変わりますか」のような感じの設問だ。どちらかというと、ガイドブックの内容を虫食いにした、というのがぴったりするかもしれない。

本試験では、ページ数のことや設問の難易度、スキルが試せる内容、というあたりを考えると、こんな感じにはならないとは思う。が、教科書を何冊が見たが、この例題に及ぶような、具体的な解説をしたものが見当たらない。強いてあげるなら、IPAの「セキュアプログラミング講座」が最も近い、というか、こちらの方が「デキ」が良い。

いずれにしても、出題の形式は「実践型」の内容になる。理論の押さえと、実践の対応力、両方のレベルアップはしておく必要がある。
posted by tamaso at 23:46| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。