R5 春 2-2

R5 春 2-2　合計：67/100

設問１8

(1) 8

a　◯　

b　☓

c　☓

d　◯

e　◯

f　☓

g　◯

h　◯

i　☓

設問２ 8

(1)

i　イ

k　ア

l　ウ

• 振り返り

  本問はオンプレからクラウドへの移行に関する問題である

  ですから、表1のオンプレの仕様を読み解いて継続するためには、クラウドの各種リソースにどういう権限を与えたらよいかという問題であった

  私はただ表６を見て、どういう権限を付与したら良いかと漠然と考えて回答したが、表１から移行前のオンプレの仕様を把握するという認識があれば回答できたと思われる。

(2) 8

{

“system”: “4000”

“account”:”11[1-9][0-9]”

“service”:”オブジェクトストレージサービス”

“event”:”ストレージの削除”

}

設問３ 26

(1) 9

m：新日記サービス

n：Tサービス

o：Tサービス

(2) 10

p：３

q：７

(3) 7

ウ、エ

設問4 25

(1) 8

攻撃者はアクセストークン要求時指定するパラメタであるcodeを知らないため

(2)

検証コードとチャレンジコードをS256でハッシュ値をbase64urlエンコードした値が同じかをチェックする

• 振り返り

  検証コードとチャレンジコードを反対で回答していた

  私の回答だと

  クライアントからサーバへハッシュ化前のチャレンジコードを送る
  サーバではハッシュ化前のチャレンジコードを保存しておく
  クライアントからサーバへハッシュ化してbase64した検証コードを送る
  サーバでは検証コードと保持しているチャレンジコードをハッシュ化して
  base64エンコードした値とマッチするかを確認する
  

となっていたが、平文でチャレンジコードを送っているのリスクあることを理解しなければ行けなかった。もし、中間者攻撃で奪取された場合、攻撃者は自由に検証コードを生成できるので、不正アクセスされ放題となる。

本質的な理解として、平文で機密情報を送信することはリスクがあった。

正しい理解は、

クライアントからサーバへハッシュ化base64エンコード後のチャレンジコードを送る
サーバではハッシュ化後のチャレンジコードを保存しておく
クライアントからサーバへハッシュ化base64エンコード後の検証コードを送る
サーバでは検証コードと保持しているチャレンジコードを
base64エンコードした値とマッチするかを確認する

であり、これだと、中間車攻撃でチャレンジコードが奪取されても

攻撃者が送るのはすでにs256化されたものなので、

• 攻撃者がサーバへ送信するのは、s256化された奪取したチャレンジコード
• サーバが検証コードをs256化するので、二重でｓ２５６化された値

となり、マッチしない

設問5

(1)

ファイルZの内容をコピーし攻撃者のローカルファイルにペーストする

• 振り返り

  本文記載の「ダウンロードの形跡はなかった」に引っ張られすぎた。

  本文にはファイルのダウンロードと記載されていたので、「変更履歴のダウンロード」と回答するべきだった。

  試験中の思考としては、

  1. ダウンロードについて問われている
  2. ダウンロードの記載さがす
  3. ファイルのdlと変更履歴のdlについての記載がある
  4. 変更履歴のdlわざわざ書かれているのなんでだろう
  5. 本文にはファイルのダウンロードの痕跡がないと記載されている
  6. ファイルではなく変更差分だ

  となる必要があった

(2) 9

アップロードされたソースコードを承認する権限は開発リーダーのみにする

(3) 8

Eトークンに付与する権限をソースコードのダウンロードのみにする