H29 春 SC 午後Ⅰ(CSRF)を解いた

H29 春 SC 午後Ⅰ(CSRF)を解いた。18分くらい

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000fzx1-att/2017h29h_sc_pm1_qs.pdf

設問1
「L氏の利用したアカウントID」と「L氏のアカウントIDのサイトアクセス日時、が一致していれば…ってこの回答意味不明だ!もっと吟味する必要がある。
正解は「L氏が今日ログインしたと言っている回数」と「L氏の利用者IDを用いた今日のログイン回数」。
私だったらログイン回数なんて覚えてないけどね
「なりすましのログインがないか」という意図でアクセス日時が一致していれば、という回答にしたけどそれ以前に回数で判断するのかー

設問2(2) 表2.なんで同じ「画面遷移え→お」なのに発行されるPOSTデータが違うの? そういうテストデータを入力したよってことか。
taikai_tokenがついてなくても退会完了になるのが脆弱性ってこと?

設問3 (1) これ知識問題でしょ?属性とか知らないからこっちは!!まだやってないの!!

ア. access key…キーボードショートカットの設定
イ.class…JavaScriptのクラス名を指定
ウ.hidden…要素を非表示にする
エ.id…要素に一意の識別子を指定
オ. lang…言語を指定
カ. Onclick…クリックされたときに実行されるJavaScriptのコードを指定する
キ.onmouseover…要素にマウスポインタを乗せたとき実行されるJavaScript コードを指定する
ク. title…要素にツールチップを表示する。

スクリプトを実行させる属性を選んでねってことか。
<b>タグって何?太字にするやつじゃないの?だよね?
図2のHTMLにも<b>タグないのに何を急に……

設問3(3)「スクリプトの自動実行を許可しない」じゃダメなのか??会話の流れから判断しないとダメだから?
正答は「タグの中で利用できる属性を制限する」。
Xさん!!脆弱性を対策することより目の前のK氏に承認されることが目的になってない!?

＜まとめ＞
全体的に慌てすぎで、もっとじっくり考えれば知識がなくても答えが導出できたはず。実際の試験では時間が足りないと感じることが多いから、どうスピードアップしていくか今後考えたい。問題文の読み方を変えた方がよさそう。
HTMLについて知識を深めたい。