HOME»応用情報技術者試験掲示板»平成30年春期 問37 解説エ 改善願い
投稿する
平成30年春期 問37 解説エ 改善願い [2216]
匿名さん(No.1)
解説エの改善願いです。
ディレクトリトラバーサルの説明が以下のようになっています。
「パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。」
上記説明ですと、パスワードの推測で認証をすり抜ける意味に誤解してしまいました。
もともとIT会社に勤めていない人だと、パス(Path)をPasswordと誤認識すると思います。
攻撃名称にある「ディレクトリ」という単語を入れた解説のほうがよいのではないでしょうか。
以下は例です
<「../」等の親ディレクトリを示す表記をファイル名パラメータの中に混入し、サーバ内の任意のファイルを読み出そうとする攻撃>
ディレクトリトラバーサルの説明が以下のようになっています。
「パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。」
上記説明ですと、パスワードの推測で認証をすり抜ける意味に誤解してしまいました。
もともとIT会社に勤めていない人だと、パス(Path)をPasswordと誤認識すると思います。
攻撃名称にある「ディレクトリ」という単語を入れた解説のほうがよいのではないでしょうか。
以下は例です
<「../」等の親ディレクトリを示す表記をファイル名パラメータの中に混入し、サーバ内の任意のファイルを読み出そうとする攻撃>
2020.09.30 08:58
あさん(No.2)
それは解説ではなくて選択肢ですよ
サイトの運営者さんは過去問をそのまま正しく載せているので変えようが無いですし
選択肢エに合致する攻撃手法がディレクトリトラバーサルなので何も間違ったりはしていません
サイトの運営者さんは過去問をそのまま正しく載せているので変えようが無いですし
選択肢エに合致する攻撃手法がディレクトリトラバーサルなので何も間違ったりはしていません
2020.09.30 10:25
匿名さん(No.3)
記事投稿者です
失礼しました
投稿を削除していただけますと幸いです。
失礼しました
投稿を削除していただけますと幸いです。
2020.10.02 15:27