2006年01月25日

問題集でSQLインジェクションにかかる 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験対策は、主に問題集を中心に今は取り組み中。今日は、午後1問題で、SQLに関するセキュリティだ。出版社制作のオリジナル問題である。

WEBで入力フォームを表示し、Javaプログラムを経由してデータベースにアクセスするという、ごく一般的な例である。与件にあたる問題文は、ソースコードや説明用のSQL文などもあって、異常に長い。まるで、研修用に作られたセキュリティ対策ビデオのような内容だ。上司のS課長が、担当のK君にさまざまなケースで注意を与えるというもの。

設問は逆にシンプルで、これも考えて解くというより、穴埋め問題に近い。あるいは、英語の教材に見られるような、「主語をyouからweに変えると、この文はどう変わりますか」のような感じの設問だ。どちらかというと、ガイドブックの内容を虫食いにした、というのがぴったりするかもしれない。

本試験では、ページ数のことや設問の難易度、スキルが試せる内容、というあたりを考えると、こんな感じにはならないとは思う。が、教科書を何冊が見たが、この例題に及ぶような、具体的な解説をしたものが見当たらない。強いてあげるなら、IPAの「セキュアプログラミング講座」が最も近い、というか、こちらの方が「デキ」が良い。

いずれにしても、出題の形式は「実践型」の内容になる。理論の押さえと、実践の対応力、両方のレベルアップはしておく必要がある。
posted by tamaso at 23:46| Comment(0) | TrackBack(1) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック


Excerpt: SQLやRuby on Rails等・[Perl][SQL方言翻訳]Perl入門・数値項目に対するSQLインジェクション対策・[プログラムについて] プログラミングセンス3・ かん
Weblog:
Tracked: 2007-08-24 13:52
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。