HOME»情報処理安全確保支援士掲示板»平成31年春 午後Ⅰ 問2 設問2(1)
投稿する
はい。その認識でよろしいです。
図4のWebブラウザ -> 認証サーバXの最初のフローで
「認証要求(利用者、パスワード)」をやり取りしています。
攻撃者はWebブラウザと認証サーバXの間に割り込んでいるので、
このやり取りも中継しています。
»[1409] 平成31年春 午後Ⅰ 問2 設問1(1) 投稿数:7
»[1408] 令和元年 秋 午後1 問3 設問3 (1) 投稿数:3
[1411] 平成31年春 午後Ⅰ 問2 設問2(1)
sorablueさん(No.1)
平成31年春 午後Ⅰ 問2 設問2(1)について教えてください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000ddiw-att/2019h31h_sc_pm1_qs.pdf
攻撃者の手口は認証サーバXがOTPを要求する手順に
割り込むということでしょうか
つまり、
OTP要求:認証サーバX→攻撃者のサーバ→Webブラウザ
OTP入力:Webブラウザ→攻撃者のサーバ→認証サーバX
となるので、攻撃者のサーバと認証サーバXの間で認証が通り
不正アクセスが成立するということでしょうか。
その場合、攻撃者はユーザIDとパスワードがわからなくても、
OTPを中継できれば不正アクセスは成功するのでしょうか。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000ddiw-att/2019h31h_sc_pm1_qs.pdf
攻撃者の手口は認証サーバXがOTPを要求する手順に
割り込むということでしょうか
つまり、
OTP要求:認証サーバX→攻撃者のサーバ→Webブラウザ
OTP入力:Webブラウザ→攻撃者のサーバ→認証サーバX
となるので、攻撃者のサーバと認証サーバXの間で認証が通り
不正アクセスが成立するということでしょうか。
その場合、攻撃者はユーザIDとパスワードがわからなくても、
OTPを中継できれば不正アクセスは成功するのでしょうか。
2024.03.15 21:41
pixさん(No.2)
★SC ダイヤモンドマイスター
>攻撃者の手口は認証サーバXがOTPを要求する手順に
>割り込むということでしょうか
はい。その認識でよろしいです。
>その場合、攻撃者はユーザIDとパスワードがわからなくても、
>OTPを中継できれば不正アクセスは成功するのでしょうか。
図4のWebブラウザ -> 認証サーバXの最初のフローで
「認証要求(利用者、パスワード)」をやり取りしています。
攻撃者はWebブラウザと認証サーバXの間に割り込んでいるので、
このやり取りも中継しています。
2024.03.15 22:46
sorablueさん(No.3)
pix様
ご回答ありがとうございます。
最初の段階で認証に割り込んでいるのですね。
それではOTPも機能しません。理解しました。
ご回答ありがとうございます。
最初の段階で認証に割り込んでいるのですね。
それではOTPも機能しません。理解しました。
2024.03.16 01:02
その他のスレッド
»[1410] 6年春のSCの応募数 投稿数:6»[1409] 平成31年春 午後Ⅰ 問2 設問1(1) 投稿数:7
»[1408] 令和元年 秋 午後1 問3 設問3 (1) 投稿数:3