H24秋  午後2問1 設問3（1）について、
表6の項番2の段階で、自動診断ツールはパラメタ"ID"と"mail"の値を調査可能なのでは？と思ってしまいました。。。

XSS（クロスサイトスクリプティング）について、また、問題文中の自動診断ツールについてあまりよく理解できていないためだと思います。


どなたか解説お願いします。。。

内容をうまくまとめられなくて読みずらいと思いますが、ご容赦ください

自動診断ツールは、意図的に入力として不正なパラメタを送信し
出力時に適切にエスケープ処理されているかを確認するものと思われます

ここでパラメータ入力＆出力されるものがある項番は
項番2：
入力:ID,mail
出力:ID,mail
※ここの項番2に対するチェックで自動診断ツールがID,mailに対して不正なパラメタを
  送信しても、出力時にエスケープ処理されているため、自動診断ツールの診断は正常に
  パスしたと思われます

項番5:
入力:name,address,tel
出力:name,address,telと(ID, mail)
※ID,mailは前の項番2の入力情報をDBなどから引っ張ってきていると思われます
  問題はこの項番と思われます
  ここの項番5に対するチェックで自動診断ツールがname,address,telは不正なパラメタを
  送信しても、なんとかパスしたと思われます
  問題はID,mailですがこの2つはここでは入力できず、DBなどから一方的に出力する
  パラメータなので、自動診断ツールで診断できないパラメータとなってしまいます

  あと問題文中に「プログラマがそれぞれの解釈でコーディングしたためエスケープ処理に
  一部漏れがあるプログラムがつくられてしまった」と書いてあります
  この一文から推測できることは
  ・項番2と項番5のプログラマは別の人間
  ・項番5の"新規本会員登録（2）"の画面出力で二つのパラメタに・・・
  とあるので、これらの情報と状況から推理するに問題の二つのパラメタとは
  ID,mailで、この二つをDBから出力する際のエスケープ処理が不足していてXSSの脆弱性が
  存在するものと思われます

図３自動診断ツールの6に
「入力した値が次画面で取り扱われるものだけ診断可能」と書いてあります。

パラメタのうち、名前、住所、電話番号は、項番４に入力→５で取り扱われる・・・診断可能
ID、Mailは、項番２で入力→３では取り扱われない・・・診断不可能

よって、ID、Mailは調査不可能という結論となります。

みなさん回答ありがとうございました！
無事解決しました。