日曜日は、情報処理技術者試験。システムアーキテクト試験(SA)を受験してきました。
午前Ⅱの回答は即日公表され、80点でしたので、あとは午後次第。感触は良かったですが、さて、どうなることやら。
午前Ⅱの試験は勉強になるものが多いですが、今回受験中に知って気になったのが、「格納型XSS」という言葉。
IPAのサイトでも解説されていました。
https://www.ipa.go.jp/files/000024726.pdf
こちらのサイトだと、「反射型」は攻撃者が自分で出力結果を利用し、「格納型」は第三者に出力結果を利用させる、という違いのように思われ、それならこのように分類することも納得できますが、このページの元となっている共通脆弱性タイプ一覧CWEの説明では、格納型もあくまでも第三者攻撃の手段と捉えているようです。
https://jvndb.jvn.jp/ja/cwe/CWE-79.html
他の様々なサイトを見ても、CWEの説明を引用して説明しているようです(そりゃそうだ)。
けど、そこで例として挙げられるURLにスクリプトを埋め込む等は、スクリプトを格納しているのとあまり意味合いは変わらなくないかなと、いまいち腑に落ちません。
当初反射型しかなくて、格納型が出てきたというなら、より無意識に被害者になるパターンが増えてきたという警鐘を鳴らす意味があると思いますが、どちらかというと格納型のパターンの方が昔から言われてきている方法だと思いますし。
今回下記の本を使用しました。正直この試験は、午後は対策しにくい(どちらかというと国語の問題)ので、午前Ⅱ対策を頑張るのが良いのかなと思います。(趣味の読み物としては午後試験の内容は最高)
