令和6年春午後問3設問1(2)
広告
支援士さん
(No.1)
模範解答
攻撃者が罠リンクを用意し、管理者にそのリンクを踏ませることで管理者権限のcookieを攻撃者のWebサイトに送信させ、その値を読み取って利用することで管理者としてサイトXにアクセスし、利用者情報を取得する
模範解答の前提として、管理者がログインした状態でCookieを取得する必要があると思います。
その為には、管理者ログインを行わせる罠リンクに誘導する、もしくは管理者としてログイン済の状態で罠リンクを踏ませる事が必要と考えますが、この模範解答ではその点の言及が弱く感じます。
私の理解はあっていますでしょうか?
攻撃者が罠リンクを用意し、管理者にそのリンクを踏ませることで管理者権限のcookieを攻撃者のWebサイトに送信させ、その値を読み取って利用することで管理者としてサイトXにアクセスし、利用者情報を取得する
模範解答の前提として、管理者がログインした状態でCookieを取得する必要があると思います。
その為には、管理者ログインを行わせる罠リンクに誘導する、もしくは管理者としてログイン済の状態で罠リンクを踏ませる事が必要と考えますが、この模範解答ではその点の言及が弱く感じます。
私の理解はあっていますでしょうか?
2024.11.03 15:14
pixさん
★SC ダイヤモンドマイスター
(No.2)
攻撃の縦と横と可能性についての認識です。
P25下線②は後に「可能性があると説明した。」と続いています。
したがって、可能性が1%でもあるのであれば、解答になりえます。
スレ主様の認識では攻撃は1回(一次元の点)行われると認識しているのでは
ないでしょうか。
現実世界での攻撃は
・縦(一つのサイトに対して数十~数万回)
・横(同様のサイト、数十~世界中のサイトに対して)
で絨毯爆撃のように行われます。
もし攻撃成功率が1%でも、その攻撃が100回行われた場合は攻撃を
受けてしまいます。
もし攻撃成功率が0.01%でも、同様サイトが100あり、それぞれに攻撃が
100回行われた場合は攻撃を受けるサイトが発生します。
これはちょうどオレオレ詐欺のようなものです。100回電話して99回は失敗するが、
1回は成功するというものです。
攻撃者はその1回を狙ってきます。
そういった背景を踏まえると、1%でも発生する可能性がある脆弱性は、
対応する必要があるということです。
P25下線②は後に「可能性があると説明した。」と続いています。
したがって、可能性が1%でもあるのであれば、解答になりえます。
スレ主様の認識では攻撃は1回(一次元の点)行われると認識しているのでは
ないでしょうか。
現実世界での攻撃は
・縦(一つのサイトに対して数十~数万回)
・横(同様のサイト、数十~世界中のサイトに対して)
で絨毯爆撃のように行われます。
もし攻撃成功率が1%でも、その攻撃が100回行われた場合は攻撃を
受けてしまいます。
もし攻撃成功率が0.01%でも、同様サイトが100あり、それぞれに攻撃が
100回行われた場合は攻撃を受けるサイトが発生します。
これはちょうどオレオレ詐欺のようなものです。100回電話して99回は失敗するが、
1回は成功するというものです。
攻撃者はその1回を狙ってきます。
そういった背景を踏まえると、1%でも発生する可能性がある脆弱性は、
対応する必要があるということです。
2024.11.03 15:54
pixさん
★SC ダイヤモンドマイスター
(No.3)
補足です。
官公庁などで攻撃が発生した場合、同様の官公庁が狙われる可能性が高いです。
そのため、官公庁どうしは攻撃情報を共有することが多いです。
実際の業務でのケースとして、官公庁が海外から攻撃を受けた場合、
その情報は共有され
・自システムが攻撃を受けたかのログの調査
・攻撃元IPアドレスをFWやWAFでブロック
などの対応を行います。
官公庁などで攻撃が発生した場合、同様の官公庁が狙われる可能性が高いです。
そのため、官公庁どうしは攻撃情報を共有することが多いです。
実際の業務でのケースとして、官公庁が海外から攻撃を受けた場合、
その情報は共有され
・自システムが攻撃を受けたかのログの調査
・攻撃元IPアドレスをFWやWAFでブロック
などの対応を行います。
2024.11.03 16:01
支援士さん
(No.4)
pixさん、ありがとうございます。
仰ることは理解しているつもりでして、私の疑問は、模範解答
「管理者にそのリンクを踏ませることで管理者権限のcookieを攻撃者のWebサイトに送信させ」
がしっくり来ないと感じるのです。
管理者権限のCookieを取得するためには、単に「管理者に罠リンクを踏ませる」では不足している認識です。
罠リンクで管理者としてログインさせるか、罠リンクを踏む前に管理者ログインして管理者権限を取得しておく必要があり、その言及が必要だと思いました。
問題文を読むと、前問(1)で、一般利用者が管理者機能である問合せ情報閲覧が行える脆弱性であることが示されており、さらに問題文「攻撃者がこのxssを悪用して」とありました。
でも、一般利用者が罠リンクを踏むだけで、そのCookieを使えば管理者としての操作ができ、問題文にある利用者情報取得ができてしまうということとは違うと考えているのですが如何でしょうか。
仰ることは理解しているつもりでして、私の疑問は、模範解答
「管理者にそのリンクを踏ませることで管理者権限のcookieを攻撃者のWebサイトに送信させ」
がしっくり来ないと感じるのです。
管理者権限のCookieを取得するためには、単に「管理者に罠リンクを踏ませる」では不足している認識です。
罠リンクで管理者としてログインさせるか、罠リンクを踏む前に管理者ログインして管理者権限を取得しておく必要があり、その言及が必要だと思いました。
問題文を読むと、前問(1)で、一般利用者が管理者機能である問合せ情報閲覧が行える脆弱性であることが示されており、さらに問題文「攻撃者がこのxssを悪用して」とありました。
でも、一般利用者が罠リンクを踏むだけで、そのCookieを使えば管理者としての操作ができ、問題文にある利用者情報取得ができてしまうということとは違うと考えているのですが如何でしょうか。
2024.11.03 17:02
pixさん
★SC ダイヤモンドマイスター
(No.5)
>罠リンクで管理者としてログインさせるか、罠リンクを踏む前に管理者ログインして
>管理者権限を取得しておく必要があり、その言及が必要だと思いました。
この点についてはあまり気にしすぎないようほうがよいかと思います。
考えうるパターンとしては以下の2つです。
・管理者がログインしていない状態で罠リンクを踏んでも問題なし
・管理者がログインしている状態で罠リンクを踏むと問題あり
このうち下のパターンが発生すること自体を可能性として挙げたと考えます。
言葉の綾になりますが、リンクを踏んで100%問題が発生するのであれば、
「可能性」ではなく「脆弱性」という表現を使うと考えられます。
IPAの表現について受け入れるか否かを悩むかたは過去にも結構おります。
IPAはIPAを理解する者には点をくれるが、そうでないものに点はくれません。
悩むことで学習が止まってしまうようであれば、一旦は受け入れたほうがよいです。
2024.11.03 17:24
支援士さん
(No.6)
>リンクを踏んで100%問題が発生するのであれば、「可能性」ではなく「脆弱性」という表現を使うと考えられます。
なるほどです。解説ありがとうございました。
2024.11.03 19:07
DSさん
(No.7)
この投稿は投稿者により削除されました。(2024.11.05 12:41)
2024.11.05 12:41
DSさん
(No.8)
設問1(1)より、スクリプトはサイト管理機能にログイン後のお問合せ管理機能に出力されるので、管理者ログイン済みの状態で罠リンクを踏ませることが可能ではないのでしょうか?
2024.11.05 12:42
支援士さん
(No.9)
DSさん、ありがとうございます。様々な解説サイトを読んで前問が伏線になっていることが理解できましたが、前問は問合せ管理機能に限った話と理解してしまい、利用者情報の取得までできてしまう、とまでは直接結びつけられませんでした。
ですので管理者権限を取得するまでの記載を含めて回答の必要があり、模範解答に違和感を覚えました、という次第です。
ですので管理者権限を取得するまでの記載を含めて回答の必要があり、模範解答に違和感を覚えました、という次第です。
2024.11.05 21:03
広告
返信投稿用フォーム
投稿記事削除用フォーム
広告