テクニカルエンジニア（情報セキュリティ）平成19年度試験問題（午後1問1）

情報セキュリティスペシャリスト試験情報＞テクニカルエンジニア（情報セキュリティ）平成19年度試験メニュー＞問題と解説
　

テクニカルエンジニア（情報セキュリティ）平成19年度試験問題（午後1問1）

問1
【出題趣旨】
　情報システムの構成要素は多岐にわたるが，中でも顧客の要求に応じて開発されるアプリケーションプログラムのセキュリティ脆弱性を少なくすることは，ソフトウェアエンジニアリングとしても重要な課題である。
　本問では，システム開発の過程で脆弱性低減のために実施すべき作業についての知識を確認した上で，脆弱性を発生させないための具体的なプログラミングにおける技術的対策に関する知識・能力を問う。

　
設問1　a：「スタック」，b：「val2」，c：「val1」，d：「権限昇格」，e：「関数呼出し」，f：「ヒープ」
　

設問2へ
　
設問2　
(1)　ア：128
　
(2)　

・攻撃者に読取り権限のない任意のファイルの内容が表示されてしまう。

・プログラムが意図したファイル以外の任意のファイルの内容が表示されてしまう。

　
(3)　

・最初のコマンドライン引数が128バイト未満であるという条作を論理積として加える。

・ if(argc > 1 && strlen(argv[1]) < 128) {

　

設問3へ
　
設問3　

・　変数と戻りアドレス格納部分の間に特別な数値をあらかじめ埋め込んでおき，この数値がプログラム実行時に変更されていないことを確認する。

・　変数と戻りアドレス格納部分の間に乱数値をあらかじめ埋め込んでおき，この乱数値がプログラム実行時に変更されていないことを確認する。

　

　
メニューへ戻る
　

Copyright (C) 2007 kimura-kouichi

　
　
　

・	攻撃者に読取り権限のない任意のファイルの内容が表示されてしまう。
・	プログラムが意図したファイル以外の任意のファイルの内容が表示されてしまう。

・	最初のコマンドライン引数が128バイト未満であるという条作を論理積として加える。
・	if(argc > 1 && strlen(argv[1]) < 128) {

・	変数と戻りアドレス格納部分の間に特別な数値をあらかじめ埋め込んでおき，この数値がプログラム実行時に変更されていないことを確認する。
・	変数と戻りアドレス格納部分の間に乱数値をあらかじめ埋め込んでおき，この乱数値がプログラム実行時に変更されていないことを確認する。