到達目標
脆弱性について確認するために、SQLインジェクション、OSコマンドインジェクション、クロスサイトスクリプティングなどに対する脆弱性を持つサーバの構築を行い、実際に各種脆弱性を確認し、その対策方法を理解する。
ルーブリック
| 理想的な到達レベルの目安 | 標準的な到達レベルの目安 | 未到達レベルの目安 |
SQLインジェクションとその対策 | SQLインジェクションを十分に理解し、十分な対策ができる | SQLインジェクションを理解し、ある程度の対策ができる | 優、良にて必要な到達を満たせない |
OSコマンドインジェクションとその対策 | OSコマンドインジェクションを十分に理解し、十分な対策ができる | OSコマンドインジェクションを理解し、ある程度の対策ができる | 優、良にて必要な到達を満たせない |
クロスサイトスクリプティングとその対策 | クロスサイトスクリプティングを十分に理解し、十分な対策ができる | クロスサイトスクリプティングを理解し、ある程度の対策ができる | 優、良にて必要な到達を満たせない |
学科の到達目標項目との関係
教育方法等
概要:
脆弱性について確認するために、SQLインジェクション、OSコマンドインジェクション、クロスサイトスクリプティングなどに対する脆弱性を持つサーバの構築を行い、実際に各種脆弱性を確認し、その対策方法を理解する。
授業の進め方・方法:
各自が、Windows上にて各種サーバを構築する。インストール作業なども自身にて行うことで、構築の全ての行程に触れることが可能となる。構築においては、自身による調査だけでなく、基本的な構築手順の提示を行う。脆弱性の確認手段も提示するが、自身にて調査してもらう内容も用意する。脆弱性の確認後は、自身にて調査し、各種サーバへ脆弱性対策を施し、対策がなされたかどうかを確認する。一連の過程を全て体験してもらい理解を図る。
注意点:
倫理的観点、法律的観点が極めて重要となるため、講義の最初にしっかりと理解してもらう。また、講義の合間にもしっかりと繰り返し、両観点を説明していく。
授業計画
|
|
週 |
授業内容 |
週ごとの到達目標 |
前期 |
1stQ |
1週 |
ガイダンス |
倫理的・法律的観点の重要性を理解する。
|
2週 |
SQLインジェクション確認のためのサーバ構築 |
サーバ構築手法を理解する
|
3週 |
SQLインジェクションを確認する |
SQLインジェクションを理解する
|
4週 |
SQLインジェクション対策を施す |
SQLインジェクション対策を理解する。
|
5週 |
SQLインジェクションを総括する |
SQLインジェクションを総括する。
|
6週 |
OSコマンドインジェクション確認のためのサーバ構築 |
サーバ構築手法を理解する
|
7週 |
OSコマンドインジェクションを確認する |
OSコマンドインジェクションを理解する
|
8週 |
OSコマンドインジェクション対策を施す |
OSコマンドインジェクション対策を理解する。
|
2ndQ |
9週 |
OSコマンドインジェクションを総括する |
OSコマンドインジェクションを総括する。
|
10週 |
クロスサイトスクリプティング確認のためのサーバ構築 |
サーバ構築手法を理解する
|
11週 |
クロスサイトスクリプティングを確認する |
クロスサイトスクリプティングを理解する
|
12週 |
クロスサイトスクリプティング対策を施す |
クロスサイトスクリプティング対策を理解する。
|
13週 |
クロスサイトスクリプティングを総括する |
クロスサイトスクリプティングを総括する。
|
14週 |
学んだ脆弱性についての総括 |
学んだ脆弱性についての総括
|
15週 |
サーバ構築方法の総括 |
サーバ構築方法の総括
|
16週 |
全体総括 |
全体総括
|
評価割合
| 構築内容 | 報告書 | 相互評価 | 態度 | ポートフォリオ | その他 | 合計 |
総合評価割合 | 60 | 40 | 0 | 0 | 0 | 0 | 100 |
基礎的能力 | 40 | 20 | 0 | 0 | 0 | 0 | 60 |
専門的能力 | 20 | 20 | 0 | 0 | 0 | 0 | 40 |
| 0 | 0 | 0 | 0 | 0 | 0 | 0 |