検査と使用の競合
情報セキュリティマネジメント試験「TOCTOU(競合状態)」の問題
資源を検査してから実際に使うまでの隙に状態を書き換えられ、不正な処理を許す脆弱性はどれか。
ア入力された文字列の長さを確認せずに領域へ書き込み、領域を超えてしまう脆弱性。
イ利用者の入力をそのまま命令文に連結し、想定外の命令を実行させてしまう脆弱性。
ウ画面に他者が用意した透明な枠を重ねて表示し、利用者に意図しない操作をさせる脆弱性。
エ資源を検査してから使用するまでの隙に状態を書き換えられ、不正処理を許す脆弱性。
正解
エ.資源を検査してから使用するまでの隙に状態を書き換えられ、不正処理を許す脆弱性。
TOCTOUは検査時点(Time of Check)と使用時点(Time of Use)の間に資源の状態が変えられる競合状態で、権限確認の直後にファイルを差し替えるなどして検査をすり抜けさせる。
?選択肢ごとの解説
ア ×長さ未確認で領域を超える書き込みはバッファオーバフローで、検査と使用の時間差を突くTOCTOUとは別である。
イ ×入力を命令文に連結する不備はインジェクションで、状態変化の隙を突くTOCTOUとは原因が異なる。
ウ ×枠を重ねて誤操作させるのはクリックジャッキングで、資源の状態書き換えを突くTOCTOUとは異なる。
エ ○TOCTOUは検査時点(Time of Check)と使用時点(Time of Use)の間に資源の状態が変えられる競合状態で、権限確認の直後にファイルを差し替えるなどして検査をすり抜けさせる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w4-0016
