Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和4年度 春期 午後2 問1 4

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[サイトYのSSRF脆弱性]
 サイトYでは、例えば、図4のリクエストを受け取ると、A社のニューストピックを取得し、表示するようになっている。

 この処理にSSRF脆弱性があった。D社は、③図4のリクエスト中の値を変更してサイトYに送り、サイトYのDB サーバのメンテナンス用のWebインタフェースにアクセスできることを確認した。

線③について、図4のリクエスト中のどの値をどのような値に変更したか。45字以内で具体的に述べよ

A社のトピックニュースを取得するためには、サイトYの仕様を確認するとわかる

③図4のリクエスト中の値を変更してサイトYに送り、サイトYのDB サーバのメンテナンス用のWebインタフェースにアクセスできることを確認した。

サイトYのDB サーバは公開されておりhttps://db-y.b-sha.co.jp/となる

topicの値をhttps://db-y.b-sha.co.jp/に変更した。

div #breadcrumb div{ display: inline;font-size:13px;}