書式指定の悪用
情報セキュリティマネジメント試験「書式文字列攻撃対策」の問題
利用者入力を書式指定の引数にそのまま渡すと任意のメモリ参照や書き換えを許す問題への対策はどれか。
ア利用者の所在地を地図上に表示し、登録地域からの接続かを確認するためだけの対策。
イ利用者入力を書式指定子として解釈させず、固定の書式に値として渡して防ぐ対策。
ウ通信内容を暗号化して、経路上で盗聴されても読まれないようにするための対策。
エ端末の紛失時に遠隔から画面を施錠し、データを消去するための対策。
正解
イ.利用者入力を書式指定子として解釈させず、固定の書式に値として渡して防ぐ対策。
書式文字列攻撃対策は、外部入力を出力関数の書式文字列に直接使わず固定の書式に値として渡すことで、入力中の指定子が解釈されメモリの読み書きに悪用されるのを防ぐ。
?選択肢ごとの解説
ア ×所在地表示は位置情報の話で、書式指定子の悪用を防ぐ書式文字列攻撃対策とは無関係である。
イ ○書式文字列攻撃対策は、外部入力を出力関数の書式文字列に直接使わず固定の書式に値として渡すことで、入力中の指定子が解釈されメモリの読み書きに悪用されるのを防ぐ。
ウ ×通信の暗号化は内容の秘匿が目的で、出力関数での入力の扱いを正す本対策とは目的が異なる。
エ ×遠隔施錠と消去は端末管理の機能で、書式指定子の解釈を防ぐ書式文字列攻撃対策とは別である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0018
