HOME»情報処理安全確保支援士掲示板»平成27年秋午後Ⅰ問1設問3(1)
投稿する
平成27年秋午後Ⅰ問1設問3(1) [1478]
ミラーさん(No.1)
メソッドについて、解答はANY,COOKIE,Multipartとなってますが、私はGET,POST,COOKIEとしました。
問題文に「GETメソッドに限らずPOSTメソッド、Multipart/foem-dataのPOSTメソッド、Cookieによる攻撃の可能性があります」とあるので、上記でも良い(Multipartと指定しなくてもPOSTメソッドで包含している)と思いました。また、ANYとするとGETとPOST以外のメソッドも検知対象に含めてしまうので、よくないのではと思いました。
ご教授のほどよろしくお願いいたします。
問題文に「GETメソッドに限らずPOSTメソッド、Multipart/foem-dataのPOSTメソッド、Cookieによる攻撃の可能性があります」とあるので、上記でも良い(Multipartと指定しなくてもPOSTメソッドで包含している)と思いました。また、ANYとするとGETとPOST以外のメソッドも検知対象に含めてしまうので、よくないのではと思いました。
ご教授のほどよろしくお願いいたします。
2024.04.02 11:00
納豆のたれさん(No.2)
図2より
・メソッドを指定 →パラメタ名を検査する
・Multipartを指定→フィールド名を検査する
パラメタ名≠フィールド名なので、POSTを指定してもフィールド名を検査してくれない。
だから、GET、POST、COOKIE、Multipart の4つを指定したい。
しかしルール数に制約があるので、GETとPOSTをANYで集約して3行にした。
ということだと思います。
・メソッドを指定 →パラメタ名を検査する
・Multipartを指定→フィールド名を検査する
パラメタ名≠フィールド名なので、POSTを指定してもフィールド名を検査してくれない。
だから、GET、POST、COOKIE、Multipart の4つを指定したい。
しかしルール数に制約があるので、GETとPOSTをANYで集約して3行にした。
ということだと思います。
2024.04.03 09:54