このエントリーをはてなブックマークに追加

概要

R社は健康食品のECを運営している。データセンターのネットワーク図が登場。DBの前にFW2を設置している。気になる。図2の販売システムの概要の内容は普通。

脆弱性発見の情報

セキュリティ専門会社から、セッションIDが推測できる脆弱性の報告を受ける。下線部1登場。FWでセッションIDの偽造を判別できない理由を聞いている。おそらく、FWはパケットフィルタリング型なのでセッションIDまで見れないからと回答する。読み進めると、販売システムの注文受付を停止するという決断。さすがS主任。もし下線部1の理由が間違っていたら大変なことになると思った。

WAFによる対策の検討

セキュリティ会社のQ氏が提案する。下線部2登場。クッキーにセッションIDを保存するので、クッキーを暗号化するとセッションIDが推測されやすいという問題が解決される。楽勝。

下線部3登場。属性の効果を維持できると言っているので、セッションID以外の属性が暗号化されていないアとウを選択。
下線部4登場。クッキーの利用方法によっては問題が出る可能性があるとのこと。クッキーってユーザの認証にしか利用しなしのでは??ネットワーク図を再度確認するが、やはり分からない。

(a)の登場。(a)が十分に減少すればよい。これはフォールスネガティブ。フォールスネガティブは最悪と覚えてる。下線部5登場。シグネチャを無効化しても良い条件を聞いている。なんかすっきりしないが、シグネチャがどの脆弱性と対応しているかを確認し、無効化を検討すると回答した。

WAFの導入

下線部6登場。なぜSSLをWAFで終わらせるかと聞いている。これはかなりよく出るパターン。暗号化のされている経路ではフィルタリングできないから。楽勝!

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス