【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問1】
https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm2_qs.pdf
[フェーズ5:診断手順案に従った診断の実施]
Y氏の協力の下、Zさんは、診断手順案に従ってサイトNの診断を実施することにした。サイトNは既にリリースされている。サイトNの会員(以下、会員Nという)は、幾つかのグループに分けられており、申し込むことができるキャンペーンが会員の所属しているグループによって異なる。サイトNの画面遷移を図4に示す。
まず、Zさんは、診断対象URL、アカウントなど、診断に必要な情報をK社に確認した。しかし、サイトNについては診断に必要な情報が一元管理されていなかったので、確認の回答までに1週間掛かった。診断開始までに要する時間が課題として残った。
次に、Zさんは、アカウントの設定を行った後、④探査を開始するURLに図4のトップページを指定してツールVの診断対象URLの自動登録機能を使用したが、一部のURLは登録されなかった。その後、登録されなかったURLを手動で登録した。診断を実施してもよいか、Y氏に確認したところ、注意点の指摘を受けた。具体的には、⑤特定のパラメータが同じ値であるリクエストを複数回送信するとエラーとなり、遷移できない箇所があることに注意せよとのことであった。適切な診断を行うために、ツールVの拒否回避機能を設定して診断を実施した。診断では、次に示す脆弱性が検出された。
- XSS
- アクセス制御の回避
Zさんは、これらの脆弱性について、サイトNの開発部門(以下、開発部Nという)に通知し、偽陽性かどうかの判断、リスクの評価及び対策の立案を依頼した。