HOME»情報処理安全確保支援士掲示板»令和4年春午後2問1設問5(2)
投稿する

令和4年春午後2問1設問5(2) [1606]

 みみかt..zzZZさん(No.1) 
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm2_qs.pdf

令和4年春午後2問1設問5(2) 
V氏が宿泊サイトのSSRF脆弱性を検出した手順で、本文中の下線④の別の対策とは何か?という問題です。

私の回答は、「該当がない時のLocationヘッダを固定する」としました。
公式の正答は、「returnURLの値を固定値とする」でした。

初学者の私としてはどっちも一緒の意味だろうと安易に考えているのですが、厳密にはどうなのでしょうか?
なお、returnURLの値を固定値とするという正答には納得しています。ただ、私の回答のLocationヘッダを固定するとした場合、どのような不都合が生じるのか、そもそもLocationヘッダを固定できるものなのかどうかを気になったので質問をしました。

博識ある方からすると変な質問に思えるかもしれませんが、温かい目で見ていただけると助かります。。。
2024.07.07 19:22
 みみかt..zzZZさん(No.2) 
すみません、追記で「どっちも一緒の意味だろう」という表現は、P社宿泊サイトから出力される結果が同じになるということです。
2024.07.07 19:26
むぐむぐさん(No.3) 
Locationヘッダを含めたレスポンスを返しているのはP社宿泊サイトです。
よって、「該当がない時のLocationヘッダを固定する」ではP社が修正をする必要があります。
しかし、今回の問で脆弱性診断を受けているのはB社であり、P社宿泊サイトはB社で修正することができません。
問5(2)の問題文にも「B社で実施することが望ましい対策」とヒントが書かれています。

以上のことから、「該当がない時のLocationヘッダを固定する」は回答として不適切であると考えます。
2024.07.07 20:58
 みみかt..zzZZさん(No.4) 
あーーー!!!
むぐむぐさん、完全に理解しました。
B社で対応をすることを記載するのですね。完全にP社目線の回答をしておりました。
この問題の状況を把握してませんでした。。。ムズカシイ、、、
2024.07.07 21:07
返信投稿用フォーム

お名前

顔アイコン


本文(コミュニティガイドライン⇱を順守して適切な投稿を心がけましょう)

投稿削除用のパスワード(20文字以内)

投稿プレビュー
※SQL文は全角文字で記載してください。
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop