ITエンジニアのプレイングマネージャー化応援サイト

19.セキュリティ対策

弊社の新人エンジニア研修向けのJSP Servletの問題集です。

1.クロスサイトスクリプティング対策

あなたはお仕事で以下の掲示板のプロトタイプを作成した。

<ソースコード①>

 

ところが先輩によればこのままではクロスサイトスクリプティングの脆弱性があるとの指摘を受けた。

例えば、テキストエリアに以下のコードを書き込んでみることを促された。

問:①のところにXSSを無効化するメソッドを宣言して、スクリプトレットの中で使用しなさい。

2.ディレクトリトラバーサル対策

あなたはお仕事で以下の情報検索システムのプロトタイプを作成した。

サンプルアプリケーションはこちらから

しかし、先輩からディレクトリトラバーサルの脆弱性を指摘された。

セキュリティホールを塞ぎなさい。

<ソースコード①> index.html

<ソースコード②> DirectoryTraversalServlet.java

<ソースコード③>imai.html

<ソースコード④>yamazaki.html

<ソースコード⑤>secret.html

3.SQLインジェクション対策

あなたは、以下のような社員給与台帳システムのプロトタイプを作成した。

 

 

サンプルアプリケーションはこちらから。

ところが、先輩社員からこのままではSQLインジェクション攻撃を受ける可能性があることを指摘された。

①なぜ、このままではいけないのかを“攻撃入力”の場合のSQL文を手書きしたうえで説明しなさい。

②プレースホルダを使いセキュリティホールを塞ぎなさい。

 

<データベースのテーブル構造>

 

 

 

 

 

 

 

 

<ソースコード① index.jsp>

<ソースコード②> は講師から受け取ること。

※WAFのブラックリストに引っかかってここには掲載できないため。

4.オリジナル問題作成

 

将来の後輩のために良い問題が出来たら教えてください。
 

 

JavaWebアプリケーションの問題集に戻る

 

新入社員研修ポータル

IT企業の人財育成に関することなら TEL 0120-559-463 10:00 - 17:00 (土・日・祝日除く)

ZOOMを使った遠隔研修メニュー(PDFが開きます)

ZOOMを使った遠隔研修

新人エンジニアのためのJavaタイピングゲーム

新人プログラマのためのプログラミング動画

YouTubeチャンネル

新入社員研修ポータル

PAGETOP
Copyright © Say Consulting Group, Inc. All Rights Reserved.