RSSおすすめ記事です

スポンサーリンク

7payの脆弱性、基本情報技術者試験に同様の問題がwww

ニュースセキュリティ

勉強

スポンサーリンク

7payの脆弱性、基本情報技術者試験に同様の問題がwww

1 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:17:28.33 ID:WUR3WP8x9.net

基本情報技術者平成28年春期

午前問40

Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。

ア・あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。

イ・あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。

ウ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。

エ・新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。
https://www.fe-siken.com/kakomon/28_haru/q40.html


スポンサーリンク

ネットの反応

4 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:18:26.73 ID:ysK3rRtU0.net
Left Caption

もはやわざととしか思えん

8 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:19:57.86 ID:71eE5Xs70.net
Left Caption

何の役にも立たない糞みたいな常識テストだと思ってたが
常識がない奴には為になる知識なんだな

13 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:21:34.22 ID:IaqQJ/Fg0.net
Left Caption

情報セキュリティの素人が設計したな

16 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:22:04.83 ID:yPQUoFc40.net
Left Caption

どこの会社なんだ?
まあ結局外部設計すらレビューしてないセブン側に帰結するか

19 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:23:16.07 ID:Nd5ww+5w0.net
Left Caption

セブンのエンジニアは基本情報レベルてすらないのかよ

35 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:26:31.61 ID:5baT0DcAO.net
Left Caption

>>19
そうゆうことになるなw基本的なことを忘れているわw

32 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:25:42.36 ID:U4eRM5Xi0.net
Left Caption

う~ん一番簡単そうなのはウ!

33 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:26:06.05 ID:gJCV/6bq0.net
Left Caption

へぇ~基本でも今そんなのでるのか
まぁこの時代だから当然なんだろうが

36 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:26:36.89 ID:WnvAIUrn0.net
Left Caption

「基本情報?弊社のシステムは高度なシステムなので関係ない(ドヤァ)」

37 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:26:46.67 ID:JJPnnP2X0.net
Left Caption

で、どれが正解でセブンがやったのはどれなん?

53 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:29:31.27 ID:VG9up6hj0.net
Left Caption

>>37
イが正解でエをやったんじゃないかな

42 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:28:04.39 ID:0LY72f6F0.net
Left Caption

セキュリティ基礎知識がないやつが
決定権もってたんだろうな。
そいつが思いつく利便性
でかつ工数圧縮を満たす仕様だったんだろ

64 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:30:48.92 ID:yPQUoFc40.net
Left Caption

>>42
大した圧縮にもならんだろ

設計レビュー通ったんだかわからんけど、
実装した技術者も、これまずいよなとか言いながら実装してそうだな。多国籍とかでコミュニケーション悪いプロジェクトに有りがち。

50 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:29:04.18 ID:ONEPKGF20.net
Left Caption

ア、の会社が未だにある
パスワード平文で送ってくんなや

56 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:29:35.20 ID:RYLk36050.net
Left Caption

たしか一番最初にpayで問題があったときはパスワードを何度でも入力できたんだっけ

58 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:29:40.24 ID:a42TrcSb0.net
Left Caption

この問題って物議を醸したやつだよな
そもそもパスワードリマインダーなんて実装すべきじゃないとクレームが付いた

120 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:40:19.83 ID:o14CGQpx0.net
Left Caption

>>58
なるほど

66 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:31:39.56 ID:vI1ihxGE0.net
Left Caption

支那あたりに丸投げ開発やろ(^。^)y-.。o○

118 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:40:18.62 ID:P2drTCKC0.net
Left Caption

>>66
セブンがアホ仕様を指示
→中国人プログラマ「これ穴あるよなw」
→面白い話がありますよ
→運用開始
あたりかね

欠陥を見つけても報告しない
秘密を漏らす(秘密とも言えんがw)
運用開始直後って完全に開始前から知ってて狙われてたわ

68 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:31:47.92 ID:BwsVLvF40.net
Left Caption

>推測困難なURL
これどういう意味?

119 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:40:19.72 ID:XadLKVzw0.net
Left Caption

>>68
Aさんのアカウントに悪者B が入り込もうとする
悪者BがAさんになりすまして「パスワードを忘れたどうにかしたい」という操作をやる
Aさんのところにメールが行く
で、このメールに書いてあるURLが
http: // 7pay/A/password-change
みたいなわかりやすいURLだと
悪者Bはメールを受け取らなくても、URLを予測できる。パスワード再設定の手続きができちゃう
メールを送る意味がなくなってしまう
なので、メールを受け取った人しかわからない URL にしないといけない
http: // 7pay/A/password-change-AGJSDLKJSDF
みたいな

そういう話じゃないかな

88 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:35:41.15 ID:gcN314ER0.net
Left Caption

オ. パスワードを忘れたユーザーの利便性を考えて、新たに入力したメールアドレスにパスワード変更URLを送付する

93 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:36:27.31 ID:D16T4uB70.net
Left Caption

試験、意味無い説

100 : 名無しのシステムエンジニアさん 2019/07/05(金) 18:37:38.86 ID:xzdj125X0.net
Left Caption

こういう当たり前のサービス問題って意味あるのかと思ってたけど、現実にあるんだもんな

Posted by flac