令和6年度秋期の情報処理安全確保支援士試験午後問4の解説動画です。本動画では、M社の転職支援サイトと新規WebAPIを題材に、セッションフィクセーション、メールヘッダーインジェクション、HTTPヘッダー不備といった具体的な脆弱性の仕組みを学びます。さらに、WebAPIの仕様不備や、最新トレンドであるOAuth2.0やJWTといった次世代アーキテクチャへの進化についても解説しています。
セッションフィクセーションは攻撃者が用意したセッションIDを被害者に強制しアカウントを乗っ取る手法です。メールヘッダーインジェクションは改行コードを挿入し宛先を追加してメールを盗聴します。これらを防ぐには、ログイン時のセッションID再発行や入力値の改行コード除去が重要です。また、APIの認証において静的キーからOAuth2.0やJWTを利用した動的トークンへの移行が推奨されます。
