応用情報技術者 試験情報＆徹底解説

https://www.ap-siken.com/kakomon/30_aki/pm01.html

問題文の表3にて、項番 脆4の対応する脆弱性診断が"診4"になることについて考えていました。

診4を実施することにより、セッション管理の不備セッションハイジャックされ、データベースに蓄積された非公開情報が閲覧されると理解できるのですが、
脆4の脆弱性の内容にある"入力値のチェックの不備"は診4でどのようにして検出できるのでしょうか。

まず、「診4を実施することにより、セッション管理の不備セッションハイジャックされ、データベースに蓄積された非公開情報が閲覧される」がどういうことなのかがわかりません。文章が不完全のようです。

次に、「脆4の脆弱性の内容にある"入力値のチェックの不備"は診4でどのようにして検出できるか」です。

"入力値のチェックの不備"は、診4の「Webアプリケーションについて、セッション管理(空欄b)の不備、Webページの出力処理の不備などがないかを確認する」ことによってどのように検出できるかということですね。

すっきりと説明できませんが、「入力値のチェックの不備」は、「セッション管理の不備、Webページの出力処理の不備など」ではなく「Webページの出力処理の不備」と対応します(入力値のチェックはセッション管理と無関係)。つまり、「Webページの出力処理の不備」がないことを確認する診断を実施して、「入力値のチェックの不備」を検出したということです。

脆4が診4で本当に検出できるかは、設問と関係しませんので、問題を解くときはスルーしてしまいますが、あまり釈然としません。あえて言うなら、「Webページの出力処理」には「入力値のチェック」も含まれているということでしょう。「Webページの出力処理」ではなく「ブラウザとの入力と出力の処理」なら、うなずけると思います。

助け人さん、ありがとうございます。

文章が不完全で失礼しました。見直しが不十分であったと反省します。
私が質問時に考えた解釈：「Webアプリケーションは、セッション管理の不備があるとセッションハイジャックされる恐れがあり、セッションハイジャックをした攻撃者は、データベースに蓄積された非公開情報が閲覧できる」と思っていました。

ただ回答を頂き、翌々考えると、脆4はセッション管理とは関係ないということが理解できました。
「Webページの出力処理の不備」が入力値チェックに対応していると考えるべきだったのですね。

問題文も"入出力処理"って書いてもらえれば分かりやすかったかな思います。(そこも試験なんだと思いますが)