2006年04月08日

ようやく時間捻出 〜 テクニカルエンジニア(情報セキュリティ)試験対策

今日は2時間、しっかりと時間が確保できた。というわけで、午前対策は40問。うち、20問はセキュリティ分野に踏み込んで。

セキュリティ関係の問題は、一応「満点」狙いでやってみたが、計算問題とプロトコルの一部で取りこぼす。計算問題は、まあ、うっかりというか横着な計算をしたためのミス。気をつけよう。プロトコルは、少々厄介で、とにかく種類が多いのと、優先順位がやや不明確だ。このあたりは、時間も残り少ないが、繰り返し解いて憶えるしかないと思う。憶えきれないものは諦めるというのも選択肢だ。

さて、後半の1時間は、データベース系のセキュリティ。実際はSQL関連ということだ。SQLというと、すぐに思いつくのは「SQLインジェクション」。これに関しては、事前に入力をチェックするのとサニタイジングが基本。他のインジェクション問題と異なるのは、SQLに限定されていることもあり、先にチェックをする、という点。

大抵の場合、出力(表示)の際にチェックやサニタイジングをするのが基本になるが、今回は先にやっておく。

そのほか、権限の調整がある。アプリケーションで利用するアカウントは、データベース管理用のものとはちゃんと使い分ける、ということ。事象が発生しても、被害を押さえ込めるように設計しておく。また、ID・PWは、スクリプトやプログラムの中に埋め込まない。外部を参照する方法がある。

Perlは、この手の問題が出題されれば、与件などに現れるだろうが、現実には注目する点は、プログラミングやコーディングの部分ではない。
posted by tamaso at 00:26| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。