現在、学生向けのクイズ クライアントのデバッグを担当していますが、最近、潜在的なセキュリティの不具合に遭遇しました。すべてのクイズまたはテストには同じ命名規則があります 例: S1Q1.js = セクション 1 クイズ 1
Javascript クイズ ファイル (別名 S1Q1.js) は、サーバーに送信される単なるフォームなので、私はそれについて心配していませんが、学生がフォームを送信した後、採点され、レビュー ページに移動します。正解が正しい理由を説明するフィードバックです。レビュー ファイルは常に、末尾に R が付いたクイズ ファイルなので、S1Q1R.js になります。学生がテストが終了する前にレビュー ファイルをダウンロードできれば、簡単に 100 点を獲得できます。
セキュリティ上の問題は、レビュー ファイル名が厳密なパターンに従っていることに起因します。学生が URL とファイル名を知っているだけで、サーバーに S1Q1R.js ファイルを要求する可能性があるのではないかと心配しています。注:レビュー ページにアクセスする唯一の方法は、[テストを送信] ボタンをクリックすることです。手動で URL を入力すると、ホームページの末尾の注記にリダイレクトされます。
心配することはありますか?学生がこれを行うことができるとしたら、彼らはどのようにそれを行うのでしょうか? さらに重要なことに、私はどのように彼らを止めることができるでしょうか?