https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d5ru-att/2021r03h_sc_pm1_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[一つ目の問題]
Y氏は、一つ目の問題を、次の攻撃シナリオで説明した。
Sサービスにログインしていない利用者が攻撃者の用意した罠サイトにアクセスすると、図4中に示すシーケンスXが走り、後に、②利用者が攻撃を受けているとは知らずにSサービスにファイルをアップロードすると、そのファイルを攻撃者にダウンロードされてしまうおそれがある。
この対策として、RFC 6749は、図2のシーケンスで、推測可能な値であるstateパラメタを利用することを推奨している。Sサービスはstateパラメタを(β)を送信する際に付与する。Sサービスは(γ)を受信する際に、そのセッションが、stateパラメタを付与した際の(β)のセッションと同一であるか否かを確認する。同一である場合だけシーケンスを続ける。
d:認可コード e:アクセストークンの要求
正常系の流れを把握してから考えると入るものは自然とわかります。
下線②について、ファイルのアップロードと、ファイルのダウンロードは、それぞれTサービスの誰のアカウントによって行われるか。それぞれ6字以内で答えよ
攻撃者
攻撃者が認可コードを持っているので、ファイルのアップロードもダウンロードも可能となりますね。
βい Γか
Sサービスを視点に考えると利用者との接点は、認可の要求を返すときと認可コードを受け取る部分にあるので、この通信が利用者である証拠が含まれるか考えることが対策となる。
Sサービスが発行したパラメタを発行し、再度利用者から贈られるときに一致していればOKということで、答えは、いかになる