HOME»情報処理安全確保支援士掲示板»令和4年春午後2問1設問5(2)
投稿する

令和4年春午後2問1設問5(2) [1606]

 みみかt..zzZZさん(No.1) 
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm2_qs.pdf

令和4年春午後2問1設問5(2) 
V氏が宿泊サイトのSSRF脆弱性を検出した手順で、本文中の下線④の別の対策とは何か?という問題です。

私の回答は、「該当がない時のLocationヘッダを固定する」としました。
公式の正答は、「returnURLの値を固定値とする」でした。

初学者の私としてはどっちも一緒の意味だろうと安易に考えているのですが、厳密にはどうなのでしょうか?
なお、returnURLの値を固定値とするという正答には納得しています。ただ、私の回答のLocationヘッダを固定するとした場合、どのような不都合が生じるのか、そもそもLocationヘッダを固定できるものなのかどうかを気になったので質問をしました。

博識ある方からすると変な質問に思えるかもしれませんが、温かい目で見ていただけると助かります。。。
2024.07.07 19:22
 みみかt..zzZZさん(No.2) 
すみません、追記で「どっちも一緒の意味だろう」という表現は、P社宿泊サイトから出力される結果が同じになるということです。
2024.07.07 19:26
むぐむぐさん(No.3) 
Locationヘッダを含めたレスポンスを返しているのはP社宿泊サイトです。
よって、「該当がない時のLocationヘッダを固定する」ではP社が修正をする必要があります。
しかし、今回の問で脆弱性診断を受けているのはB社であり、P社宿泊サイトはB社で修正することができません。
問5(2)の問題文にも「B社で実施することが望ましい対策」とヒントが書かれています。

以上のことから、「該当がない時のLocationヘッダを固定する」は回答として不適切であると考えます。
2024.07.07 20:58
 みみかt..zzZZさん(No.4) 
あーーー!!!
むぐむぐさん、完全に理解しました。
B社で対応をすることを記載するのですね。完全にP社目線の回答をしておりました。
この問題の状況を把握してませんでした。。。ムズカシイ、、、
2024.07.07 21:07
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop