平成31年春 午後Ⅰ 問2 設問2(1)
広告
sorablueさん
(No.1)
平成31年春 午後Ⅰ 問2 設問2(1)について教えてください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000ddiw-att/2019h31h_sc_pm1_qs.pdf
攻撃者の手口は認証サーバXがOTPを要求する手順に
割り込むということでしょうか
つまり、
OTP要求:認証サーバX→攻撃者のサーバ→Webブラウザ
OTP入力:Webブラウザ→攻撃者のサーバ→認証サーバX
となるので、攻撃者のサーバと認証サーバXの間で認証が通り
不正アクセスが成立するということでしょうか。
その場合、攻撃者はユーザIDとパスワードがわからなくても、
OTPを中継できれば不正アクセスは成功するのでしょうか。
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000ddiw-att/2019h31h_sc_pm1_qs.pdf
攻撃者の手口は認証サーバXがOTPを要求する手順に
割り込むということでしょうか
つまり、
OTP要求:認証サーバX→攻撃者のサーバ→Webブラウザ
OTP入力:Webブラウザ→攻撃者のサーバ→認証サーバX
となるので、攻撃者のサーバと認証サーバXの間で認証が通り
不正アクセスが成立するということでしょうか。
その場合、攻撃者はユーザIDとパスワードがわからなくても、
OTPを中継できれば不正アクセスは成功するのでしょうか。
2024.03.15 21:41
pixさん
★SC ダイヤモンドマイスター
(No.2)
>攻撃者の手口は認証サーバXがOTPを要求する手順に
>割り込むということでしょうか
はい。その認識でよろしいです。
>その場合、攻撃者はユーザIDとパスワードがわからなくても、
>OTPを中継できれば不正アクセスは成功するのでしょうか。
図4のWebブラウザ -> 認証サーバXの最初のフローで
「認証要求(利用者、パスワード)」をやり取りしています。
攻撃者はWebブラウザと認証サーバXの間に割り込んでいるので、
このやり取りも中継しています。
2024.03.15 22:46
sorablueさん
(No.3)
pix様
ご回答ありがとうございます。
最初の段階で認証に割り込んでいるのですね。
それではOTPも機能しません。理解しました。
ご回答ありがとうございます。
最初の段階で認証に割り込んでいるのですね。
それではOTPも機能しません。理解しました。
2024.03.16 01:02
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告