情報セキュリティ過去問平成27年春午後Ⅰ-問１，２

情報セキュリティ過去問平成27年春午後Ⅰ-問１，２を学習しました。

平成27年春午後Ⅰ-問１，２を学習

１．HTTPヘッダーインジェクション

検索文字列に改行コードを２つ入れると、それ以降の文字列がレスポンスボディとしてブラウザに解釈される。

クエリ文字列のパラメタ例（問題分より抜粋）：%0d%0a%0d%0a%3chtml%3e%3cbody%3e%3cscript%3ealert%28%221%22%29%3c%2fscript%3e%3c%2fbody%3e%3c%2fhtml%3e

（%221は%22の誤植？）

%0d%0a%0d%0aが２つの改行コード「CRLF」「CRLF」（「」含まず）を表しています。

レスポンスヘッダーとレスポンスボディは１行の空行（２つの改行が必要：１つの改行でレスポンスヘッダーが改行され、２つ目の改行で空行が挿入される）で区別されているだけです。

２．セッションフィクセーション

セッションの固定化：セッションIDを盗まれたり、しこまれたりしてセッションを攻撃者に乗っ取られます。

特にログイン前にセッションIDを発行し、ログイン後もそのまま同じセッションIDを使い続けるウェブアプリケーションの仕様はこの攻撃を受けます。

対策：

1. ログイン前にセッションIDを発行しない。
2. ログイン後に新しくセッションIDを発行し、ログイン前のセッションIDは無効にする。

３．cookieにsecure属性

せっかくhttpsでアクセスしていてもcookieにsecure属性を設定していない場合、httpを受け付けるページにアクセスするとセッションIDなどクッキーが平文で流出します。

各サーバの設定

Apacheの例：参考サイト：Setting Cookie Secure Flag – Apache

phpサーバの例：参考サイト：SSL で暗号化しても Cookie で secure 属性を指定しないと盗聴される可能性があるかもしれない

〔別件ですが〕cookieをjavascriptで利用できないように「httponly属性」も有効にしておきましょう。

４．感染したユーザIDの無効化

あるユーザのPCがマルウェアに感染しC&Cサーバにアクセスしていたばあい、感染PCをネットワークから切り離し、ユーザIDを無効化する。

５．やっぱり問題文に解答のヒントあり

情報セキュリティスペシャリスト試験では、解答のヒント（手がかり）が問題文に散りばめられています。

例１：問１設問３−（３）

「図９中の手順４及び５について、利用者Ｋがログインした後、攻撃者Ｊが利用者Ｋになりすますことができるのはなぜか。”セッションID”という字句を含めて40字以内で述べよ。」
手順４．利用者Ｋがログインする。
手順５．攻撃者Ｊは、利用者Ｋになりすまし、本来はアクセス権限がない画面にアクセスできるようになる。

解答の手がかりが、図９の攻撃手順の一例の中にありました。
手順１に「攻撃者Ｊが、試験用サイトの画面Ａ…、セッションIDを取得する。…」という文章があり、手順４に「利用者Ｋがログインする。」という文章があります。

模範解答は、「攻撃者Ｊが取得したセッションIDで利用者Ｋにログインさせているから。」

どうです、かなり近いですね。本番でも、コレに気づくといいのですが。

例２：問２設問３ー（２）

「本文中の下線⑤について、これら３台のサーバ上で実施すべき対策を20字以内で述べよ。」
前略…サービスを停止できないことから、⑤これらのサーバ上で実行可能で効果の見込まれる対策を実施した。

解答の手がかりが、ページ12の〔初期対応〕文中にありました。
・ファイル配信サーバ上での当該利用者IDの無効化

模範解答は「Ｖさんの利用者ＩＤの無効化」

これも、かなり近いです。問題文をきちんと読んで理解していれば解答できますね。

例３：問２設問３ー（３）

「本文中の下線⑥について、ログの改ざんの痕跡を確認する方法を30字以内で述べよ。」
⑥これら3台のサーバ上のログに対する改ざんの痕跡が残っていないことを確認したか、Ｎさんに尋ねた。

手がかりは、下線⑥の中にありました。
”3台のサーバ上のログに対する改ざんの痕跡”とあるので、ログ管理サーバの出番です。前提に3台のサーバのログはログ管理サーバがsyslogで受信して３か月間保存されるとありました。この前提条件から３台のサーバ上のログが改ざんされていればログ管理サーバに保存されているログと比較することでその痕跡が分かるかもしれません。

模範解答は、「ログ管理サーバに保存されているログとの比較」

以上、こんな感じで設問本文にヒントが散りばめられています。