令和6年秋期試験 午後試験【問3】についての投稿を受け付けるスレッドです。

プログラミング経験者であれば、解きやすい印象でした。。勉強していれば。。。

innerHTMLであること見落とした。多分お支払い方法の部分をクレジットカード情報入力にしてるんだよね。

画面レイアウト描けっていう設問が新鮮（笑）
「全体」を見逃して引っかかりそうになって危なかった

InnerHTMLは要素上書きですね。あってた！
格納型XSSは普通に単語覚えてなかった。。
雰囲気で覚えていた反射型って答えましたけど、違うみたいですね。。

画面描けっていう問題が全くわかんなかったんだけど。。一体何を聞かれていたのか。。午後難しすぎて嫌すぎる〜

あんまり選んだ人いないんでしょうかね？
私はうっかりラジオボタンまで書いてしまったので、配点が高くないことを祈ってます。
回答枠は変化球でしたが、中身は割とシンプルだったような。

ギャオりそうになりましたわ

この投稿は投稿者により削除されました。(2024.10.13 16:23)

i-sha.com宛のGETリクエストを監視するみたいな書いた気がします！

ラジオボタン描きました。。ここは0点かな。

設問3(1)は「攻撃者のwebサーバへのHTTPリクエストのログを取得し、Refererの値のクエリ文字列から取得する」と解答してしまったんですが、よく考えたらクエリ文字列はi-sha.comにくっつけたやつなのでアクセス元のドメインを示すRefererのクエリ文字列ではないですね...全く見当違いな解答をしてしまったことに今気づきました

持ち込み可の定規、使うとこないだろと思ってました。持ち込んでないのでフリーハンドでした。

ダメな気がするけど、そんなに検討外れでもないような気もしたり、ウロウロ

設問1
a 5  b XSS  c 標的（Ｘ）   d5   eＳＱＬインジェクション 
設問2
(1)（Ｘ  正直サッパリワカラナカッタ）
    お支払方法
    ●  クレジットカード決済
    〇  銀行振込  

    次へ

(2)  value ,  1 
(3)  i-sha.comにカード番号、有効期限、カード名義、セキュリティコードをパラメータ付与してgetメソッドでアクセス！

設問3
(1)  アクセスログに残っているパラメータを確認して見れたらいいな
(2)  ログインした利用者

お絵描き問題、終わる直前に「次へ」とかのボタン書き忘れてることに気づけました...
Submit って「前へ」押下時も拾います？

お絵描き出るとは...
万年美術は1だったんですが...

受動型と書いたがだめか、、

クロスサイトスクリプトって答えちゃったわ
正しくはクロスサイトスクリプティングなのにこの一年くらいずっと勘違いしたまま生きてた
なにやってんだ～…

あまり書き込みないようなので投下します・・・どうでしょうか

設問1
(a) 5
(b) クロスサイトスクリプティング
(c) 格納
(d) 2
(e) SQLインジェクション 

設問2
(1)
配送先・支払方法選択
配達先
□
お支払方法
カード番号
□
有効期限
□月/□年
名義
□
セキュリティコード
□
  戻る  次へ

(2) order[payment] ,  1 
(3) 次へボタンを押した時に入力されたカード番号、有効期限、名義、セキュリティコードをクエリに乗せて攻撃者のWEBサーバにアクセスさせる

設問3
(1)  クレジットカード情報を含むURLをWEBサーバのアクセスログから取得する
(2)  /paymentへのURIリクエストをした利用者

Webエンジニアです。40点くらい取れてたらいいな。。。

設問1
(a) 5
(b) クロスサイトスクリプティング
(c) 格納
(d) 2
(e) SQLインジェクション 

設問2
(1)
図1 /shopping の
クレジットカード決済と銀行振込のラジオボタンのエリア
を
図1 /payment の
カード番号～セキュリティコードの入力欄のエリア
で置き換えるイメージ

(2) order[payment] ,  1 
(3) 次へボタンを押下すると、攻撃者が用意した用意したWebサーバに対して、
カード番号、有効期限（年/月）、名義、セキュリティコードの情報を、
GETメソッドでリクエストを送信する。

設問3
(1)  攻撃者のWebサーバのアクセスログのリクエストURIからクレジットカード情報を取得する
(2)  適当

設問1以外自信が無い…
HTMLの文法に詳しくないがために、ラジオボタンまで書いてしまったり、Paymentのパラメータ名がどう書くべきなのか分からなかったり…

設問3の（2）も、問題文に書いてあるからわざわざアクセス日時について書く必要なかったですね。

設問1
(a) 5
(b) XSS
(c) 格納
(d) 2
(e) SQLインジェクション 

設問2
(1)
配送先・支払方法選択
配達先
□
お支払方法
カード番号
□
有効期限
□月/□年
名義
□
セキュリティコード
□

◎クレジットカード決済
○銀行振込
  戻る  次へ

(2) Payment ,  1 
(3) 入力されたクレジットカード情報を変数に代入し、クレジットカード情報をURLのパラメータに付加して「次へ」ボタンを押した時にGETメソッドで送信する処理内容。

設問3
(1)  Webサーバのアクセスログに残っているURLのパラメータからクレジットカード情報を取得する方法。
(2)  アクセス日時が期間内、画面名が「配送先・支払方法選択」のアカウント名

この投稿は投稿者により削除されました。(2024.10.13 20:10)

XSS脆弱性とかSQLインジェクション脆弱性ってあんまり言わないなって思っちゃって、説明しちゃいました・・・。

同じくXSS脆弱性は日本語としておかしいので、エスケープ処理がされない脆弱性、プレースホルダーを使用しない脆弱性と回答してしまいました。

同じく、XSS、SQLインジェクションは攻撃手段であって、脆弱性とは違うのかなって思って説明しました

XSSについて教えてください。

以下のように理解してましたが、
ーーーーーXSSの理解ーーーーー
XS（クロスサイト）
→サイトをまたぐ
S（スクリプティング）
→スクリプトを記載する
あくまで、（悪意のあるサイトに）クロスサイトさせるスクリプトを埋め込む攻撃である
ーーーーーーーーーーーーーーー
XSS脆弱性のあるサイトに悪意のあるスクリプトを埋め込めれば、
XSSとされる気がしており、XS（クロスサイト）と呼ばれる理由がわかりません。
なぜ、XS（クロスサイト）と呼ばれるのでしょうか。
（どんな攻撃も攻撃対象ユーザと攻撃者で通信する必要があるから？）


また、XSS脆弱性について以下の理解は正しいでしょうか。
ーーーーーXSS脆弱性の理解ーーーーー
反射型
→悪意のあるスクリプトが埋め込まれた罠サイトを用意し、
罠サイトを操作した結果、
XSS脆弱性のあるサイトからのレスポンスによりユーザ側でスクリプトが実行される（罠サイトにアクセスしたユーザが対象となる脆弱性）
格納型
→XSS脆弱性のあるサイトに悪意のあるスクリプトを埋め込み、
XSS脆弱性のあるサイトを操作した結果、
XSS脆弱性のあるサイトからのレスポンスによりユーザ側でスクリプトが実行される（全ユーザが対象となる）
ーーーーーーーーーーーーーーーーーー

割と解けましたが、語句補充が簡単なのと記述もそんなに難しくない印象なので点数補正で下がらないか心配です…

これ以外の大問題が難しすぎて(自由すぎて)、過去問対策がここにしか活かせませんでした。経験無い組にとって、ここで確実に何点稼げるかが特に重要だと感じました。

外国人なので、日本語の表現はよくわからないですが、
少なくとも、英語では、XSS vulnerabilityは通じます。

OWASPのリンク：
owasp.org/www-community/attacks/xss/

例：
An XSS vulnerability allowing an attacker to modify a press release or news item could affect a company’s stock price or lessen consumer confidence.

>なぜ、XS（クロスサイト）と呼ばれるのでしょうか。
Wikipediaになりますが以下のような説明がありました。

----------
「クロスサイト（サイト横断）」という名称は歴史的なもので、初期に発見されたXSSでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行することから名づけられたものだが、XSSの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになった。
----------

XSS対策をしていないという脆弱性

SQLインジェクション対策をしていないという脆弱性

と書きました。妙に解答欄が長かったので…

XSS脆弱性とかSQLi脆弱性は文脈によっては使うと思うけどなあ、日本語的には確かに気になるけど

設問1
a 5
b XSS
c 反射
d 2
e SQLインジェクション

設問2
1 /shopping 画面の「クレジットカード決済・銀行振込」を「カード番号・有効期限・名義・セキュリティコード」に書きかえた図
2 order[Payment], 1
3 「次へ」押下時に独自の関数が実行されるよう設定。関数の内容は、偽フォーム含むフォーム要素から入力されたクレジットカード情報を取得し、GETクエリパラメータにのせてi-sha.comに送信

設問3
1 Webサーバの通信ログより、URLのGETクエリパラメータでクレジットカード情報を確認できる
2 ショッピングカート画面で購入ボタンを押下し、配送先・支払い方法選択画面に遷移した利用者のアカウント名

設問1c以外は自信ありです

設問2(2)、どちらもダブルクォーテーションで囲むべきか悩んだ結果、最終的には囲んで答案提出。
掲示板を読んだ感じでは想定解答ではなさそうだけど、許容されてほしいなあ。。。

WEBサーバーをHTTPサーバーと書いてしもたな。

最後の問題。「「配送先・支払方法選択」画面にアクセスしたアカウント名」じゃなくて、「「支払手続」画面にアクセスしたアカウント名」じゃないのでしょうか。そちらの方が確実に情報流出の被害者を割り出せると思うのですが。

と思ったけど、本文に、「送信の直前までの操作をした利用者で絞る」とか書いてあるんですね

設問2（3）は addEventListener が click じゃなくて submit だったから、ボタンクリックではなくフォーム送信時と書きましたが、そこまでは気にしなくてもよさそうですね。

設問1
a 5
b XSS
c 反射
d 2
e SQLコマンドインジェクション

設問2
1 shopping 画面の「クレジットカード決済・銀行振込」を「カード番号・有効期限・名義・セキュリティコード」に書きかえた図
2 order[Payment], 1
3 フォーム要素から取得した入力されたクレジットカード番号、有効期限、名義、セキュリティカードをGETクエリパラメータでi-sha.comに送信する

設問3
1 攻撃者Webサーバの通信ログより、URLのGETクエリパラメータでクレジットカード情報を確認できる
2 宛先ホストが攻撃者webサーバのもの

設問1のeは覚え間違え、設問3の2は最後まで？？？でした。
7割いってくれると助かるけどどうだろう。。

IPAの資料（安全なウェブサイトの作り方)を読んでいるとXSSという言葉自体は問題(脆弱性)のことを指してそうですね。なので、XSS脆弱性はOKそうな気もます。XSSの問題を悪用した攻撃が「XSS攻撃」と呼ばれると書いてありました（SQLインジェクションも同様に）。

設問１全部逆で書いてることに気付いてしまった。設問１全部✕だ・・・。今回の試験自信あったのに一気に不穏な空気に。
設問１以外は割と自信あるけどこれ大丈夫か・・・？

これで59点とかだったら泣くぞ

明らかに間違えた部分含め以下で回答しました…

[設問1]
a: 5
b: クロスサイトスクリプティング
c: 蓄積
d: 2
e: SQLインジェクション

[設問2]
(1):
「配送先・支払方法選択」画面のラジオボタン部分を、
「支払い手続き」画面のカード番号～セキュリティコードの入力部分に置き換えた図
(2):
パラメータ名: order[Payment]
値: 1
(3): 
フォーム送信時のイベントリスナーを設定。ページを改ざんし追加したカード番号～セキュリティコードの各テキストボックスの値を取得し、「i-sha.com」に送信する。送信する際、値をURLパラメータに含めGETメソッドで送信する。  (※用語や日本語に問題あり…)

[設問3]
(1): 443ポートへの通信をパケットキャプチャツールでキャプチャする (※明らかに誤答)
(2): 画面名「配送先・支払方法選択」にアクセスしたログを集計し、該当するアカウント名

…用語がIPA基準と違ったりするのはどこまで許されますかね
もう片方の選択した問題で大きなミスしてしまったので問3が頼り…
今考えたらなぜ暗号化されたHTTPリクエストをキャプチャすればいいという思考に行き着いたのか…(キャプチャできなくはないが想定と違うだろうな…)

設問3(1)は、Engi-Nearさんと全く同じ回答でした。

a 5
b css
c 格納型
d 2
e SQLインジェクション


2
(1)/shoppingのお支払い方法の選択画面がクレジットカード情報入力画面に変更
(2) order[payment] ,1
(3) クレジットカードの情報をi-sha.comのドメインに対しGETメソッドで送信している
３
(1)攻撃者のWEBサーバに送信されたURLのクエストリングからクレジットカード情報を取得する
(2)ショッピングカートで購入処理をした者の電子メールなどの利用者情報

URL文字列（クエストリング）と書いた気もしますが、❌かな…何だよクエストリングって。冒険するのかよって日曜の自分を問い詰めたいです。単語間違いは誤答になるのかな…

TAC解答見ましたが、43～46点は取れてるかな
ただし問2のメール問題で12～15点で爆死したので、問3が逆下駄されたら確実に落ちるｗ

XSSとSQLインジェクションのところ、直後に脆弱性という文字が来ていたので「SQLインジェクション型」というように答えてしまったのですがダメですかね😢

設問3の（2）について問題の条件から外れるのですが、なぜ攻撃者サイトのURLにアクセスしたログではなく送信する直前の操作に留めたのでしょうか。
画面を開いたアカウント名よりも確実に送信されたユーザを絞れるはずなのでもやもやしております。教えてください。

なぜなぜさん 
>なぜ攻撃者サイトのURLにアクセスしたログではなく送信する直前の操作に留めたのでしょうか。

攻撃者サイトのURLにアクセスしてしまうのは被害者の操作しているブラウザです。
そのためアクセスしたかはログがなく、調べることができません。

むぐむぐさん
理解することができました。
ありがとうございます！