HOME»情報処理安全確保支援士掲示板»平成31年春 午後Ⅰ 問2 設問2(1)
投稿する

平成31年春 午後Ⅰ 問2 設問2(1) [1411]

 sorablueさん(No.1) 
平成31年春 午後Ⅰ 問2 設問2(1)について教えてください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000ddiw-att/2019h31h_sc_pm1_qs.pdf

攻撃者の手口は認証サーバXがOTPを要求する手順に
割り込むということでしょうか
つまり、
OTP要求:認証サーバX→攻撃者のサーバ→Webブラウザ
OTP入力:Webブラウザ→攻撃者のサーバ→認証サーバX
となるので、攻撃者のサーバと認証サーバXの間で認証が通り
不正アクセスが成立するということでしょうか。

その場合、攻撃者はユーザIDとパスワードがわからなくても、
OTPを中継できれば不正アクセスは成功するのでしょうか。
2024.03.15 21:41
pixさん(No.2) 
SC ダイヤモンドマイスター
>攻撃者の手口は認証サーバXがOTPを要求する手順に
>割り込むということでしょうか
はい。その認識でよろしいです。

>その場合、攻撃者はユーザIDとパスワードがわからなくても、
>OTPを中継できれば不正アクセスは成功するのでしょうか。
図4のWebブラウザ -> 認証サーバXの最初のフローで
「認証要求(利用者、パスワード)」をやり取りしています。
攻撃者はWebブラウザと認証サーバXの間に割り込んでいるので、
このやり取りも中継しています。
2024.03.15 22:46
 sorablueさん(No.3) 
pix様

ご回答ありがとうございます。
最初の段階で認証に割り込んでいるのですね。
それではOTPも機能しません。理解しました。
2024.03.16 01:02
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop