【過去問解説】情報処理安全確保支援士 令和５年度秋季【午後 問１】

2023年10月8日実施の情報処理安全確保支援士解答速報

毎年のことながら７～８割の正解率かと思います。間違いや不明点ございましたらコメントください。

前回より１時間くらい遅いな。

更新履歴	更新日時	内容
初版	10月8日 21:27
第二版	10月11日 00:16	いくつか解答修正

問１ Webアプリケーション開発

設問１ この攻撃で使われたXSS脆弱性について答えよ。

（１）XSS脆弱性の種類を解答群の中から選び,記号で答えよ。

解答

イ

解説

図4のこの辺りを見るとわかりやすいかと思います。

格納型XSS

攻撃者が用意した罠から発生するリクエストに対して、不正なスクリプトを含むHTMLをサーバで組み立ててしまうことが原因で発生するXSSです。

参考サイト

Webアプリへの攻撃「XSS」とは？フロントエンドと関連の強い「DOM-based XSS」を解説

（２）WebアプリQにおける対策を,30字以内で答えよ。

解答

会員が入力した文字列をサニタイズする

解説

フォームに入力された文字列はとりあえずサニタイズしましょう。

設問２ 図3について,入力文字数制限を超える長さのスクリプトが実行されるようにした方法を,50字以内で答えよ。

解答

複数の投稿を行い、投稿間のHTMLタグをコメントアウトすることで投稿文字列だけを結合させる

解説

図3をよく見ると「/*~~*/」とコメントアウトで囲われている領域があります。

コメントアウト部分を塗りつぶしてみるとこのようになります。

複数の投稿が結合されて<script></script>で囲われた攻撃コマンドが見えてきます。

このコメントアウトにより、レビュー件数と実際に表示されたレビューの内容にずれが生じます。

設問３ 図4のスクリプトについて答えよ。

（１）図4の6~20行目の処理の内容を, 60字以内で答えよ。

解答

スクリプトを実行した会員のCookieを画像ファイルに偽装しアイコン画像としてアップロードする

解説

行ごとの処理を右側に記載しました。

60文字制限があるので、ポイントである16行目付近を中心に記述します。

うまく記述すればもうちょっと情報詰め込めるかも。

（２）攻撃者は,図4のスクリプトによってアップロードされた情報をどのようにして取得できるか。取得する方法を,50字以内で答えよ。

解答

会員のレビュー投稿からアイコン画像をダウンロードし、テキストファイルに変換する

解説

アップロードされたファイルは画像形式になっているので、そのままでは読めません。

ファイルタイプを画像からテキストデータに変換する必要があります。

そのまま開くとこんなエラーになります。

（３）攻撃者が(2)で取得した情報を使うことによってできることを,40字以内で答えよ。

解答

会員になりすましてログインしログイン済み会員として機能を利用すること

解説

設問４ 仮に,攻撃者が用意したドメインのサイトに図4と同じスクリプトを含むHTMLを準備し,そのサイトにWebアプリQのログイン済み会員がアクセスしたとしても,Webブラウザの仕組みによって攻撃は成功しない。この仕組みを,40字以内で答えよ。

解答

ドメインが異なるサイトではCookie情報を取得することはできない仕組み