読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27春午後1問1 解答編

広告

※この連載については「はじめに」で注意事項がございますので
 必ず読んでくださいね。

※設問はこちらから

criticalhit.hateblo.jp

 

設問1
(1)
暗号化されていない画面に移るときにセッションIDが盗聴されるリス
クがあります。httpsからhttpに移動する瞬間です。
「画面B」

 

(2)
理由を答えよって、「暗号化されていないから。」で良いような気がし
ますが40字ですので主語を入れてみます。
「セッションIDが暗号化されていないから。」(22)
40字の場合は目安は8割、32字以上は行きたいです。
なので、
「XXXなので、XXXのときに、XXXされる」構文で行きましょう。

「画面遷移時にセッションIDが暗号化されないで、送信されるから。」

 

設問2
(1)
これ、難しいですね。ヘッダは改行で終了し、それ以降は新たなヘッダ
行として処理されるのでまずは最初のヘッダを終わらせる改行を一つ。

 

次に新たなヘッダを示す改行を一つ入れます。

 

ヘッダインジェクションが分かるとできるのですが、実務的ですねー。
学生はできないでしょうね。改行コードはCRLF。ゆえに
%0d%0a%0d%0a
<CRLF>とかしたくなるんですよね・・・。わかりますよ。

 

(2)
アとウで迷いますね。でも、任意のコードを・・・っていってるんでS
QLではない。

「ウ」


(3)
改行コード以下のヘッダを有効にしないことがインジェクションの対策
になります。なので、そのまま。
「改行コード以下のレスポンスヘッダを無効にする処理。」(25)


設問3
(1)
セッションIDが出ちゃってるのがまずいです。
09 17 27のどれかを入れましょう。でも、解答欄は2つです。
09はまず入れます。17と27は似てるのでどちらかを。
「09」「17」


(2)
攻撃者の指定したセッションIDを使わせるのが目的です。よって
「01234」


(3)
セッションフィクセーションを理解しているかを問う問題です。図9の
説明でも書いたのですが、無理矢理に攻撃者が取得したセッションID
を利用者に使わせる攻撃なので。
「攻撃者Jが指定したセッションIDを利用者Kが使用しているから。」(33)


(4)
サーバが行えることで、これを防ぐためには同一のセッションオブジェク
トのまま処理を行わないことです。
セッションIDが盗まれたら、このようになりすまされちゃいますから。
「ログイン後、新しいセッションIDを利用者に与える対策。」(28)


次回は採点だっ!

 

にしのくえすと Presented by にしの 2017