HOME»情報処理安全確保支援士掲示板»平成18年度春期SV試験  午後1問1 設問2(1)
投稿する

平成18年度春期SV試験  午後1問1 設問2(1) [0642]

 かわさきさん(No.1) 
平成18年度春期SV試験  午後1問1 設問2(1)について、回答が
サニタイジング処理と書いてますが、エスケープ処理ではダメなのでしょうか。

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2006h18_1/2006h18h_sv_pm1_ans.pdf
2021.04.08 12:56
hisashiさん(No.2) 
SC ブロンズマイスター
同じ意味を指す用語が複数ある場合、直近のIPAの試験にその用語が主流で使われていれば、
基本正解になると思います。
>平成28年春期 午前Ⅱ 問21
2021.04.10 01:39
昭和62年さん(No.3) 
私の意見
(htmlファイルであれば)htmlレンダリングエンジンがエスケープシーケンスを発見して
特別な処理を行うことをエスケープ処理だと思いたいです。

しかし、IPAもエスケープシーケンスに置換することをエスケープ処理と言っちゃっている
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_5.html
5-(i) の部分

さらに、同じ問題を出されたら、エスケープ処理と答えてしまいそうなのも事実。
2021.04.10 03:43
 かわさきさん(No.4) 
hisashiさん、昭和62年さん
ありがとうございました。
最近ではIPAがエスケープ処理とも言っているんですね。
2021.04.13 15:59
GinSanaさん(No.5) 
SC ブロンズマイスター
サニタイジングとエスケープ処理は、だいたいどっちもマルにはなるのですが、サニタイジングはスーパーセットでエスケープ処理はサブセットみたいな位置付けではあるんですよね。

エスケープ処理はだいたい特殊文字のリプレース処理として例示されますが、たとえばPOSTするHTTPリクエストでクエリストリングに%0d%0a%0d%0a(CR+LFを2行分)のあとにJavaScriptのコードを埋めとくとかあって(例:平成27年春午後1問1)、2つ改行挟んだらボディになっちゃいますから、それを回避するのには

クエリストリングの改行文字を無害化する(リプレース)
クエリストリングで改行文字以降を削除する
検知したらエラーを返す
とかいくつか対処方法があるとして、削除とか(削除はまあ広義的にエスケープ処理に含んでもいいかもしれない、あまり含まないとは思うが)エラー返しはまあ含まんでしょう。
だから、具体的なリプレース(文字列)処理とかの話が出ている文脈でどうする?と聞かれたらエスケープ処理、具体的な処理はわからんがとにかく無害化の話をされたらサニタイジングにするとか自分は決めています。

2021.04.16 23:05
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop