HOME»情報処理安全確保支援士掲示板»R4秋  午後1  問2  設問3(1)について
投稿する

R4秋  午後1  問2  設問3(1)について [1718]

 ゆーぼさん(No.1) 
お世話になっております。
表記設問について、論理関係が納得できない為質問させていただきます。

当該設問は、設問内で示された脆弱性Yが認証前のアクセスで悪用できる理由を問う物ですが、
公式解答は「ログ出力処理する文字列中に攻撃文字列が含まれれば悪用可能だから」となっております。

確かに脆弱性自体の機序としてはそうかもしれませんが、
認証前に悪用できる理由としては論理構造的に1個離れた理由だと思います。

①[前提]脆弱性Yはログ出力処理する文字列中に攻撃文字列が含まれれば悪用可能

②[理由]攻撃文字列を含むHTTPリクエストを同サーバに送付する事は認証前でも可能

③[下線]脆弱性Yが認証前のアクセスで悪用できる

の論理構造で、答えとしては②を論点とするものが適切な答えではないのでしょうか。
少なくとも支援士のこれ以外の過去問や応用情報等、
「IPA現代文」的な読み方としては上記の②が解答となっていた認識です。

ご教示いただけますと幸いです。
よろしくお願いいたします。
2024.09.14 13:02
むぐむぐさん(No.2) 
下線②より前の部分を含めて読み解くと、
未ログイン状態の攻撃文字列を含むHTTPリクエストのログが存在していて、それを認識しているD主任の未ログインのリクエストだから失敗したという考えに対して、そうではない理由を提示する流れの問題だと思います。

そのため「攻撃文字列を含むHTTPリクエストを同サーバに送付する事は認証前でも可能」ではD主任の考えの誤りを指摘できていません。

よって模範解答が正答になるのだと思われますが、いかがでしょうか?
2024.09.15 09:03
 ゆーぼさん(No.3) 
むぐむぐ様  ご回答ありがとうございます。
ご指摘いただいた通り、設問の下線前の部分を含めて読み進めると、
公式解答のほうが誤りを正すという側面では整合する回答になっていましたね...
疑問が晴れました。ご指摘いただきありがとうございました。
2024.09.16 13:32
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop