SC 平成27年度春期 午後1
問1
HTTPヘッダインジェクション
入力値をそのままレスポンスヘッダに書き出す処理に対して、改行入の入力値を用いて意図しないHTTPヘッダーを付与されてしまう
対策
外部パラメータをHTTPヘッダーに出力しない
改行コード、URLエンコード済み改行文字%0d%0aをtrimすること
問2
設問1
ネットワークの基本の理解があいまいなので答えにたどり着くまでに時間がかかった
プロキシサーバ、内部DNS
デフォルトゲートウェイ
異なるサブネットにアクセスする場合の通過点
NAPTについて、外からの通信を変換することに意識がいっていたが、逆もしかり
設問2
プロキシサーバを利用しないと内部DNSで名前解決を行う理由がわからない
あと「プロキシサーバを利用せず」の意味がわからない
マルウェアの特性知識
FQDNでC&Cサーバに接続させるタイプ⇛ IPをコロコロ変えられる
問2は全貌をつかめなかったのでぐぐったらやはり難易度が高いという感想が
問3
簡単