Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和4年度 春期 午後2 問1 5

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[サイトZのSSRF脆弱性]
 サイトZでは、最近、新機能が開発された。新機能の一つである、旅行会社P社の宿泊サイト(以下、P社宿泊サイトという)との連携機能でSSRF脆弱性が検出された。その機能は、駅名を入力すると、その駅近辺のホテルの割引クーポンなどの”お得情報”を表示できるというものである。利用者が、P社宿泊サイトに登録されている駅名の一つ、”東京”を入力したときの流れを図5に、登録されていない架空の駅名である”abc”を入力したときの流れを図6に、D社の専門技術者V氏がSSRF脆弱性を検出した手順を表4に示す。

 表4の手順によって、V氏は、Authorizationヘッダの値を受け取ることができた。P社の協力の下、この値を用いることで、本来許可なしではアクセスできないP社宿泊サイトや同じAuthorizationヘッダの値を利用するP社保有のサーバへのアクセスが可能になることを確認した。
 D社からは、P社宿泊サイトからのレスポンスに含まれるURLが想定されたものかを調べて想定外の値の場合はそのURLにはアクセスしないようにするという、SSRF脆弱性への対策が提案された。加えて、④別の対策も実施することが望ましいとのことであった。

 Rさんは、D社の脆弱性診断で検出された脆弱性について、B社の開発部のE課長に報告した。その後、B社の開発部によって対策が実施され、D社による再度の脆弱性診断で問題が修正されたことが確認された。

k:V氏が用意したサイト

 

下線④について、別の対策とは何か。B社で実施することが望ましい対策を、25字以内で述べよ。

ReturnURLを固定値にする

div #breadcrumb div{ display: inline;font-size:13px;}