セキュリティスペシャリスト試験の21年度春 午後T問題3の主催者発表解答を紹介します。またオリジナルの解説も掲載します。
この問題は普段脆弱性の対応を行っている管理者には容易な問題だったと思われます。問題文を良く読めば確実に点数を稼げる設問だったようです。
| 主催者解答 | 解説 | ||
| 設問1 | (1) | ・攻撃者が指定したコマンドが実行されると、システムが全面的に停止するおそれがある。 ・管理者権限が奪われ,DBサーバ内の個人情報が漏えいする可能性がある。 |
問題文には「損害金額の算出が難しい場合の」と記載せれているため、P君は図4より「(1)機密性の高い情報が漏洩する」「(2)システムの機能が全面的に停止する」のどちらかの判断を行ったことが分かります。 図3の脆弱性によると「Webサーバプログラムの動作権限で実行される」と記載されており、かつ図2の(f)では「Webサーバプログラムは、システム管理者権限で動作している」と記載さてれている点より、脆弱性によるシステム管理者権限で任意のプログラムが実行されてしまうことが分かります。 |
| (2) | ・攻撃手法が公開されている。 ・Exploit コードを基にした攻撃が予想される。 |
脆弱性が発見された場合、同時にそれを利用した攻撃ツールが一般公開される場合があります。この攻撃用のツールをExploit コードと呼びます。このツールを使用すれば誰でも攻撃が可能です。よってQ課長も自社のシステムが攻撃されることを予想したと思われます。 | |
| 設問2 | (1) | form または input | HTML内で POST リクエストを送付することが可能なタグは form あるいは input です。 |
| (2) | ・Referer ヘッダにクエリストリングが記載されるので,リンク先などの外部サーバに入力データが送信されるおそれがある。 ・Web サーバのアクセスログにクエリストリングが記録されるので,ログから入力データが読み取られるおそれがある。 |
POST と GET メソッドの違いの理解を問われる問題です。GETメソッドでは、ユーザが 入力した情報がクエリストリングとして URI に付加されてしまいます。 【POSTの例】 http://www.example.com/test.cgi 【GETの例】 http://www.example.com/test.cgi?name=MYNAME&year=25&address=TOKYO この"?name=MYNAME&year=25&address=TOKYO"の部分がクエリストリングです。 よってURLに付加されているため、以下に記録して残ってしまいます。 ・HTTPサーバのアクセスログ ・ページを移動した時のReferer。 ・プロキシーサーバを経由している場合はプロキシーサーバのログ よってこれらのログを見る事により、ユーザが入力した情報を見ることが可能となります。 |
|
| (3) | ・X-Sender というフィールドを含んだHTTP ヘッダを検出する。 ・HTTP ヘッダからX-Senderで始まる行を検出する。 |
シグネチャベースのIPSでは、攻撃者のふるまいを検知して攻撃を検出、遮断します。本脆弱性はX-Sender フィールドを使用しているため、HTTPヘッダ内でX-Senderを検出することが暫定的な対応となります。
図3ではX-SenderはRFCに定義されていないと明記されているため、単にHTTPヘッダー内でX-Senderを検出さえすれば良いということになります。(X-Senderのコマンドまで定義する必要は無し) |
|
| (4) | 答え:(f) 対策の内容:Web サーバプログラムの動作権限を必要最小限とする。 |
設問1-(1)の解説で記載した通り、このWebサーバプログラムがシステム管理者権限で動作しているが問題です。図2-(B)の記載のとおり、WebサーバプログラムとWebアプリケーションは限定された権限で実行しても問題ないため、システム管理者権限から最小限の権限に下げても問題ないことが分かります。 | |
| 設問3 | (1) | ・運用系から切り離す ・待機系にする ・スタンバイ状態にする |
修正プログラム適用には対象のWebサービスを停止する必要があります。図1を見ると「負荷分散装置」により3台のWebサーバにリクエストを分散しているため、この設定を変更し修正プログラム適用中のWebサーバにリクエストが送信されないような設定が必要となります。よって答えはWebサービスを停止する主旨が解答となります。 |
| (2) | 動作試験用システムで,修正プログラム適用後の動作の正常性を確認する。 | 当然ですが、修正プログラムを本番環境に適用する前に、テストする必要があります。(修正プログラム適用により仕様が変更となり、現行のアプリケーションが動作しなくなる可能性があるため) 問題の図2-(g)により本システムには「試験用システム」を保有していることが分かります。よって本番に修正プログラムを適用するために、試験用システムでテストすることの主旨が解答となります。 |
限定された
スポンサード リンク
(*)解答は必ず主催者発表を参照してください。仮にこのページに記述に誤りがあった場合でも、いかなる人物、団体も時間的損失、金銭的の損失その他あらゆる損失の補償もいたしません。
[情報処理セキュリティスペシャリスト過去問題の解説一覧に戻る]