HOME»情報処理安全確保支援士掲示板»H24秋  午後2問1 設問3(1)  自動診断ツール
投稿する

[0716] H24秋  午後2問1 設問3(1)  自動診断ツール

 田中さん(No.1) 
H24秋  午後2問1 設問3(1)について、
表6の項番2の段階で、自動診断ツールはパラメタ"ID"と"mail"の値を調査可能なのでは?と思ってしまいました。。。

XSS(クロスサイトスクリプティング)について、また、問題文中の自動診断ツールについてあまりよく理解できていないためだと思います。


どなたか解説お願いします。。。
2021.09.17 22:10
わいわいさん(No.2) 
内容をうまくまとめられなくて読みずらいと思いますが、ご容赦ください

自動診断ツールは、意図的に入力として不正なパラメタを送信し
出力時に適切にエスケープ処理されているかを確認するものと思われます

ここでパラメータ入力&出力されるものがある項番は
項番2:
入力:ID,mail
出力:ID,mail
※ここの項番2に対するチェックで自動診断ツールがID,mailに対して不正なパラメタを
  送信しても、出力時にエスケープ処理されているため、自動診断ツールの診断は正常に
  パスしたと思われます

項番5:
入力:name,address,tel
出力:name,address,telと(ID, mail)
※ID,mailは前の項番2の入力情報をDBなどから引っ張ってきていると思われます
  問題はこの項番と思われます
  ここの項番5に対するチェックで自動診断ツールがname,address,telは不正なパラメタを
  送信しても、なんとかパスしたと思われます
  問題はID,mailですがこの2つはここでは入力できず、DBなどから一方的に出力する
  パラメータなので、自動診断ツールで診断できないパラメータとなってしまいます

  あと問題文中に「プログラマがそれぞれの解釈でコーディングしたためエスケープ処理に
  一部漏れがあるプログラムがつくられてしまった」と書いてあります
  この一文から推測できることは
  ・項番2と項番5のプログラマは別の人間
  ・項番5の"新規本会員登録(2)"の画面出力で二つのパラメタに・・・
  とあるので、これらの情報と状況から推理するに問題の二つのパラメタとは
  ID,mailで、この二つをDBから出力する際のエスケープ処理が不足していてXSSの脆弱性が
  存在するものと思われます
2021.09.17 23:29
雲霧さん(No.3) 
図3自動診断ツールの6に
「入力した値が次画面で取り扱われるものだけ診断可能」と書いてあります。

パラメタのうち、名前、住所、電話番号は、項番4に入力→5で取り扱われる・・・診断可能
ID、Mailは、項番2で入力→3では取り扱われない・・・診断不可能

よって、ID、Mailは調査不可能という結論となります。
2021.09.18 00:34
 田中さん(No.4) 
みなさん回答ありがとうございました!
無事解決しました。
2021.09.18 11:06

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop