Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和5年度 春期 午後2問1 その3

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問1】

https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm2_qs.pdf

[フェーズ5:診断手順案に従った診断の実施]
 Y氏の協力の下、Zさんは、診断手順案に従ってサイトNの診断を実施することにした。サイトNは既にリリースされている。サイトNの会員(以下、会員Nという)は、幾つかのグループに分けられており、申し込むことができるキャンペーンが会員の所属しているグループによって異なる。サイトNの画面遷移を図4に示す。

 まず、Zさんは、診断対象URL、アカウントなど、診断に必要な情報をK社に確認した。しかし、サイトNについては診断に必要な情報が一元管理されていなかったので、確認の回答までに1週間掛かった。診断開始までに要する時間が課題として残った。
 次に、Zさんは、アカウントの設定を行った後、④探査を開始するURLに図4のトップページを指定してツールVの診断対象URLの自動登録機能を使用したが、一部のURLは登録されなかった。その後、登録されなかったURLを手動で登録した。診断を実施してもよいか、Y氏に確認したところ、注意点の指摘を受けた。具体的には、⑤特定のパラメータが同じ値であるリクエストを複数回送信するとエラーとなり、遷移できない箇所があることに注意せよとのことであった。適切な診断を行うために、ツールVの拒否回避機能を設定して診断を実施した。診断では、次に示す脆弱性が検出された。

  • XSS
  • アクセス制御の回避

 Zさんは、これらの脆弱性について、サイトNの開発部門(以下、開発部Nという)に通知し、偽陽性かどうかの判断、リスクの評価及び対策の立案を依頼した。

div #breadcrumb div{ display: inline;font-size:13px;}