設問1
(1)
手段・他者のバーコードを会員番号から推測して表示する。(24字)
・他者の会員番号を窃取してバーコードを生成し、決済する。(27字)
問題・バーコードの内容が会員番号であること(18字)
・バーコードが永続的に利用できること(17字)
バーコードの内容として、16桁の会員番号のみの情報であるので
推測や盗み見る等の方法で会員番号さえ入手できれば、その会員番号を基にバーコードを生成し
他者になりすまして決済ができてしまう。
この問題が起こる原因として、バーコードの内容が会員番号のみであることや
バーコードを継続して利用できてしまうことにある。
後述に、この問題の解決策として会員番号だけでなく、乱数等を付加した情報で生成を行う。
(2)
a: HMAC値αとHMAC値βの一致を検証する(22字)
HMAC値αとβはどちらも同じ内容である、秘密鍵K,会員番号,乱数,時刻を基に生成される
そしてHMACはハッシュ関数を用いているので、少しでも内容が異なれば
生成されるHMAC値は異なってしまう。この仕組みを利用する。
決済時にHMAC値αとβの一致を検証することで、(1)の問題を解決できる。
設問2
(1)変更する設定項目: い
変更後の設定内容:攻撃者のDNSサーバのIPアドレス(17字)
下線①の後に、「攻撃者が用意したサーバに利用者が接続しても気づかないおそれがある」とある
表5の内から上記の恐れがあるのは「い」だけであり、他がいじられてもその恐れはない。
設定する内容としては攻撃者が用意したDNSサーバのIPアドレスに変更する。
(2)
b:オ
c:FQDN
d:イ
サーバ証明書の検証について空欄を埋める
まずはbとdについて、午前Ⅱ等の知識があればイorオの2択に絞られると思いますが
問題はどっちにどっちが入るか。
僕も初見は迷いましたが調べたところ、まずはSAN(オ)のチェックを行い
その後にCN(イ)のチェックを行う仕組みのようでした。
cについて、ここにはFQDNが入ります。
流れをまとめると、まずはサイトのFQDNとSANの一致を確認します
SANに記載が無ければ、CNとの一致を確認する、という流れ。
設問3
(1)
メールアドレスが会員登録されているかどうかで表示が異なるという挙動(33字)
表3の処理を見ると、入力したメールアドレスが登録済みかどうかで処理が異なっている
この仕組みを利用することでスクリーニングを実施できる。
具体的には、攻撃者が所持しているパスワードリスト(本問ではメールアドレス)を
1つ1つ入力(或いは自動)して、表示される内容で登録済かどうかを区別できる。
(2)
修正すべき処理:2-b
修正後の処理:2-aとメッセージを表示する。
スクリーニングできる原因としては上述の通り。
表示されるメッセージを同じ内容にすれば、登録済かどうかは分からなくなる。
感想
HMACや証明書など、所々で知識が必要な問題があるが
どちらも試験でもよく見るのでモノにしたいところ。
スクリーニングって何だよ…と思ったが、注記を見逃していただけだった
やはり注記の見落としには要注意する。
令和2年度 秋期 午後1 問1 スマートフォンを用いた決済
Uncategorized
コメント