情報処理安全確保支援士 令和５年度春期【過去問解説午後２問１】

2023年4月16日実施の情報処理安全確保支援士解答速報

解答まとめ

設問１	router.iniなどのURL設定情報を参照する
設問２
（１）	a : イ b : ウ
（２）	2-3
（３）	アンケート入力1に対してアンケート確認画面の応答結果も判定対象に設定する
（４）	トピックの検索結果が1件以上となる文字列
設問３
（１）	ウ、エ
（２）	A : パスワードを連続5回間違えると、画面がロックされるため C : １つのキャンペーンに対し同じ会員は一度しか申込できないため
設問４
（１）	javascriptからのアクセスが禁止される
（２）	入力された情報をjavascriptなどを用い攻撃者のサーバへ送信する
設問５
（１）	リクエストパラメータに含まれるgroup_codeを改ざんする
（２）	e : JSESSIONID f : group_code
設問６
（１）	資産管理システムを利用し脆弱性診断に必要な情報を一元管理する
（２）	QAリストやwikiなどを整備し、問い合わせを行う前にこれらを参照する運用とする

他の解答・解説

情報処理安全確保支援士
問１　Webサイトのセキュリティ

設問１　表2中の下線1について,別の方法を,30字以内で答えよ。

解答

router.iniなどのURL設定情報を参照する

解説

例えば、サイト内にリンクが張られていないページが漏れる可能性があるため、URLの設定が網羅されている設定ファイルなどを参照し網羅性を担保します。

具体的過ぎる気がしないでもないですが。。

設問２　[フェーズ3: ZさんとB社での診断の実施と結果比較]について答えよ。

（１）表3中及び本文中の a,bに入れる適切な字句を,解答群の中から選び, 記号で答えよ。

解答

a	イ
b	ウ

解説

正しいクエリ文字列に対して「必ず真になる条件」と「必ず偽になる条件」をそれぞれ付加比較して検索結果が違えば、付加した文字列により結果が異なったという事になります。

これにより追加して送信したパラメータ部分も条件に利用されていることがわかります。

（追記）

コメント頂ききちんと確認いたしました。

例えば下記のようにクエリが作られていた場合

sql = "SELECT * FROM table where keyword = '?' "

keywordにmanualという文字列を与えるとこうです。
sql = "SELECT * FROM table where keyword = 'manual' "

イの場合はこのようになります。これは必ず真になります。
sql = "SELECT * FROM table where keyword = 'manual ' and 'a' ='a' "

オの場合はこんな感じです。keywordが「manual and 1 = 1」になっているものを検索しますがヒットしません。
sql = "SELECT * FROM table where keyword = 'manual and 1 = 1' "

（２）本文中のcに入れる適切な機能を,図1中の(1-1)～(8-1)から選び答えよ。

解答

2-3

解説

「アンケート入力1」画面の入力値に対するレスポンス「アンケート入力２」画面だけでなく、「アンケート確認」画面のレスポンスも管理する必要がございます。

（３）本文中の下線2について,どのような設定が必要か。設定の内容を、図2中の画面名を用いて60字以内で答えよ。

解答

アンケート入力1に対してアンケート確認画面の応答結果も判定対象に設定する

解説

（２）で解説したものと同じ

（４）本文中の下線3について, keywordの初期値をどのような値に設定する必要があるか。初期値が満たすべき条件を, 40字以内で具体的に答えよ。

解答

トピックの検索結果が1件以上となる文字列

解説

攻撃が失敗しエラーとなった場合は検索結果が0件になるので、結果が0件になるような検索条件では攻撃が失敗しているのかどうかが判断がつきません。

よって結果が1件以上取得できる条件をkeywordとして設定する必要があります。

設問３　[フェーズ 5:診断手順案に従った診断の実施]について答えよ。

（１）本文中の下線4について, URLが登録されなかった画面名を, 解答群の中から全て選び, 記号で答えよ。

解答

ウ、エ

解説

検索結果：javascriptで動的に生成している

新規会員情報入力：メールアドレス記載のURLのクリックが必要となり、画面遷移していない

キャンペーン申込⇒アカウントの拡張機能設定にて複数アカウント設定できることが解説されているため、対象キャンペーンはすべて表示可能

（２）本文中の下線5について, 該当する画面遷移とエラーになってしまう理由を2組み挙げ, 画面遷移は図 4 中の (A)~ (E) から選び, 理由は 40字以内で答えよ。

解答

A	パスワードを連続5回間違えると、画面がロックされるため
C	１つのキャンペーンに対し同じ会員は一度しか申込できないため

解説

図４の注記参照

設問４　[XSS]について答えよ。

（１）本文中のdに入れる適切な字句を,30 字以内で答えよ。

解答

javascriptからのアクセスが禁止される

解説

HttpOnly属性の仕様

（２）本文中の下線6について, 攻撃の手口を, 40字以内で答えよ。

解答

入力された情報をjavascriptなどを用い攻撃者のサーバへ送信する

解説

クロスサイトスクリプティングの攻撃手法

設問５　[アクセス制御の回避] について答えよ。

（１）本文中の下線7について, リクエストの内容を, 30 字以内で具体的に答えよ。

解答

リクエストパラメータに含まれるgroup_codeを改ざんする

解説

本来表示されないはずのキャンペーンが表示されることが課題であると記載があります。

キャンペーンの表示にはリクエストパラメータに含まれるgroup_codeで制御しているので、このパラメータが改ざんされると意図しない画面が表示されてしまいます。

（２）本文中のe,fに入れる適切なパラメータ名を,図5中から選び、それぞれ15字以内で答えよ。

解答

e	JSESSIONID
f	group_code

解説

ログイン時に発行されるJSESSIONIDに紐付く会員情報はサーバ側で管理されておりますので、ログインしているユーザに紐付く会員IDが正しく取得できます。

そこから会員のgroup_codeを取得します。

設問６　[フェーズ 6: A社グループの診断手順の制定]について答えよ。

（１）診断開始までに要する時間の課題について, A社で取り入れている管理策を参考にした対策を, 40字以内で具体的に答えよ。

解答

資産管理システムを利用し脆弱性診断に必要な情報を一元管理する

解説

情報が分散されており、集めるのに時間がかかったというのが課題として記述されています。

A社は資産管理システムを利用して管理しているようなので、これを参考にします。

資産管理システムについては本文冒頭4行目に記載されています。

（２）B社のサポート費用の課題について, B社に対して同じ問合せを行わず,問合せ件数を削減するために, A社グループではどのような対策を実施すべきか

解答

QAリストやwikiなどを整備し、問い合わせを行う前にこれらを参照する運用とする

解説

解答は複数あると思いますので、一例として記載しております。

その他の解説