情報処理安全確保支援士掲示板


[0874]午後II 問1 叩き台

 ラムネさん(No.1) 
問1を選択した人は、果たしてどれくらいいるのか。。。

1.
(1)ア
(2)ライブラリに対してソースコードレビュー及び脆弱性診断を実施する。
2.
a:利用者ID
b:セッションID(JSESSIONIDと迷いましたいが、利用者IDと同じレベルの抽象度のものを選びました。)
3.
(1)c: d:ア e:ア f:ア g:イ h:イ
(2)i:イ  j:エ
4.
topicパラメタの値をttp://db-y.b-sha.co.jp/に変更した。
5.
(1)V氏が用意したサイト
(2)入力された駅名が登録されているかを調べる。
6.
(1)サイトXのCSRF脆弱性
サイトZのSSRF脆弱性(SSRF脆弱性は複数サイトで確認されているので、サイトを明示しました。)
(2)半年に1回の1ヶ月の休止期間
(3)専門技術者による脆弱性診断と、設計、実装及びテストを並行して行う。
(4)レスポンスに利用者IDに紐づけられたcsrftokenを自動的に埋め込むという処理(PHPのフレームワーク「Laravel」では半自動的に埋め込んでくれる。)
2022.04.17 22:32
mk2さん(No.2) 
1.
(1)イ
(2)使用中のライブラリの脆弱性対策バージョンが公開されたらすぐに適用する
2.
a:JSESSIONID
b:利用者ID
3.
(1)c:イ d:ア e:ア f:ア g:イ h:イ
(2)i:ア  j:エ(X-Frame-Optionsしかわからなかったですし、標準化されているのかどうかもわかりませんでした...)
4.
ニューストピックのURLにサイトYのメンテナンス用WebインタフェースのURLを指定する
5.
(1)V氏が用意したサイトのFQDN
(2)Hostヘッダの値を変更できないようにする
6.
(1)@セッション管理の脆弱性  A認可・アクセス制御の脆弱性(表1項番5の内容をそのまま解答)
(2)改良フェーズにおける1ヶ月の休止期間
(3)改良リリース間隔を1ヶ月に伸ばし、その間に専門技術者による脆弱性診断を行う(スプリントを1ヶ月まで伸ばすのもどうなんだ、と思いましたが本文から読み取れるのはこれしかなかった)
(4)トークンを生成し、それを確認することで正規のページから遷移してきたことを確認する処理を行う機能(Refererっぽい感じで書いたつもりです)

3(1)はIPAが公開してるクリックジャッキングの記事とほぼほぼ同じ状況同じ画面だったため、イアアアイイが正解な気がします。
2022.04.17 23:24
えいようどりんくさん(No.3) 
作成ありがとうございます。
僕は以下のように回答しました。

1.
(1)ア
(2)定期的に安全性の確認が取れたライブラリの公開サイトを確認する
2.
a:利用者ID
b:cookieのJSESSIONID
3.
(1)c:ア  d:イ  e:イ  f:イ  g:ア  h:ア
(2)i:ア  j:エ
4.
topicパラメタの値をttp://db-y.b-sha.co.jp/に変更した。
5.
(1)V氏が用意したサイトのfqdn
(2)サイトzから連携対象でないサイトに接続させない
6.
(1)@セッションフィクセーション攻撃
    Aオープンリダイレクト攻撃
(2)半年に1回の1ヶ月の休止期間の時期
(3)2週間周期での改良リリースに、10日足して専門技術者による脆弱性診断も行うよう見直す
(4)セッションIDを推測困難な値で発行し、利用者ごとにひも付けする機能
2022.04.17 23:29
初回組さん(No.4) 
3(1)はわたしも絵を見た記憶があって、mk2さんと同じ組にしました。
にしてもこれ試験中何が手前で奥が混乱してました。
2022.04.17 23:32
りんごさん(No.5) 
設問6(2)は休止期間中に開発メンバが休暇や研修に行くという記載と、表1の指摘事項に関して開発担当者と専門技術者で協議するとの記載から、診断出来ないと判断して20回に1回の大規模改修時にしたんですけどどう思いますか?
2022.04.18 00:35
みかぜさん(No.6) 
選択1(Webサイトのセキュリティ)で問6の(1)、最初はセッション管理の脆弱性と認可、アクセスの脆弱性って書いてたんですけど、例えばを上げるのかと思ってセッションハイジャックとディレクトリトラバーサルに書き直したの詰みかもしれないです
2022.04.18 01:03
 ラムネさん(No.7) 
6.(1)は表1そのままでいい感じですか...

「表1の対象範囲の違いから今回取り上げられたサイトごとの脆弱性のうち、専門技術者でしか発見できない脆弱性を答える問題」と捉えてしまいました。失態。

部分点ください!
2022.04.18 06:13
子育て中さん(No.8) 
もうボロボロでした。
設問6は、一般的な攻撃を挙げよと言われているのかと思いましたが、結局は
・CSRF脆弱性
・SSRF脆弱性
と書いてしまいました。
本文中から、というようには明言されていませんでしたが、どのように解釈すればよいか迷う設問でした。
2022.04.18 09:14
初参戦さん(No.9) 
クリックジャッキングの問題、悪問では・・・どちらとも取れますし、確かに「重ねる」とあれば手前かもしれませんが入れ替えても全然違和感ありません・・・
2022.04.18 17:31
初回組さん(No.10) 
クリックイベントが有効なのは手前にある画面って確か記載がありましたね
2022.04.18 18:17
あつむ@SC初挑戦さん(No.11) 
クリックジャッキングの問題
問題文中のサイトXの画面[f]という記述で確定させる意図なのでしょうね。
2022.04.18 20:27
初参戦さん(No.12) 
手前に操作させたい画面があるというのはもちろんクリックジャッキングの仕組み上そうなんですが、それを前半3問と後半3問の答えを入れ替えても同じ意味になるように見えるんですよね…何度も間違えてないか空欄に書き込んでまで確かめたんですが…(アイイイアア)
2022.04.18 22:15
初回組さん(No.13) 
どっちでも入れ替えができちゃうので、あつむさんがおっしゃってる通り、サイトXの画面[f]でαを入れさせたいんだろうなあと私は考えました。
2022.04.18 22:24
初参戦さん(No.14) 
確かに、問題を見直すと「罠サイト」とあるのでそれは画面β、「サイトXの画面」とあるのでαですね・・・半年後頑張ります泣
2022.04.18 23:31
子育て中さん(No.15) 
設問4でURLではなくFQDNと書いてしまったので詰みがさらに詰みになりました。
2022.04.19 08:35
ebiさん(No.16) 
itecさんのサイトで解答速報が出されましたね。
結果いかがでしたか?
2022.04.20 18:49
あつむ@SC初挑戦さん(No.17) 
解答速報の感じだと8割は取れてそうです!
ただ午後Tが際どい感じなので、何とも言えない気持ちですT_T
2022.04.20 20:26
ちょしさん(No.18) 
3(1)
初回組さんやmk2さんと同じ組にしました。
もやもやしますね。
2022.04.23 10:09

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop