設問1
(1)
ア
(2)
XSSの脆弱性の対策をしているバージョンにアップする
設問2
a:JSESSIONID
b:利用者ID
設問3
c:α
d:奥
e:透明
f:β
g:手前
h:可視
-
回答理由
クリックさせたい攻撃者が指定したxframeのサイトを手前にするとおもった
-
正答との差
攻撃者を手前にしたらクリックさせても攻撃者の指定したfqdnに飛ぶだけ
購入ボタンなど実行させたいのは本来のwebサイト
なので、本来のwebサイトを手前にしないといけない
見えていたら誰も押さないので、本来のwebサイトを透明で手前にしつつ、攻撃者のは奥にする
2
i イ
j エ
設問4
クエリ文字列topicに表2注のドメインを指定する
設問5
1
k:
利用者
-
回答理由
実際に利用者が使用するときの話だと思った
-
正答との差
問題の基となっている表4にて、「SSRF脆弱性を検出した手順」とタイトルにあるので、テストする際に指定するURLを記載する必要があった
テストしているのはV氏なので、そこまで俯瞰して問題文を読めば回答は難しくなかった
2
会社が決めた固定URL
設問6
1
1つ目
認可・アクセス制御の脆弱性
2つ目
一部のセッション管理の脆弱性
2
半年に一回の一ヶ月の休止期間
3
前スプリントの試作版に対して脆弱性診断をしてもらう
-
回答理由
並行で診断してもらうと2週間に一回のスプリント間隔を崩さなくて良いと思った
-
正答との差
前スプリントのものは前のやつなのでそれに対して脆弱性診断をしても意味がない
大規模改修の際に改良リリース間隔を一ヶ月とすることがあるとあるので、そのときにするかこの間隔を増やしてそこでするか回答すればよかった
一スプリント二週間及び表1の項番5に専門家による診断は10日の合計24日あれば診断 ~ 開発までいけるということを頭に入れればよかった
4
画面表示時にcsrfトークンを埋め込みPOSTリクエスト時に一緒に送りサーバ側のと一致するか検証する機能