Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和4年度 春期 午後2 問1 2

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[サイトXのCSRF脆弱性]
 サイトXは、セッションIDをJSESSIONIDというcookieに格納している。D社は、サイトXのキャンペーン応募ページでCSRF脆弱性を検出した。
CSRF脆弱性を確認した手順は、次のとおりであった。
⑴診断用利用者(以下、利用者Aという)の利用者IDでサイトXにログインし、キャンペーン応募ページで送信されるリクエストの内容をツールを使って確認した。リクエストの内容を図2に示す。

 リクエストの内容を確認後、csftokenをCSRF対策用のパラメタと考え、リクエスト中のcsftokenの値を削除して送信した場合と1文字変更して送信した場合を試したところ、どちらもエラーとなった。
⑵利用者Aとは別の診断用利用者(以下、利用者Bという)の利用者IDでサイトXにログインし、キャンペーン応募ページで送信されるリクエスト中のcsftokenの値に、図2のcsftokenの値を設定して送信したところ、利用者Bとして処理された。

この結果から、csftokenと(a)又は(b)とをひも付けるという対策ができていないことが分かった。

a:利用者ID

図2のcsftokenの値を設定して送信したところ、利用者Bとして処理された。

とある。利用者Aと利用者Bを区別するにはセッションIDごとの管理が必要となるが、csftokenにはその役割を果たしていない。

b:セッションID

div #breadcrumb div{ display: inline;font-size:13px;}