読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ午後問題攻略 24年春午後Ⅰ2 作者の答えてみた

広告

問題文です。
f:id:koharuwest:20160321073134p:plain

※作者はもちろん、解答を見てないので間違ってたらごめん的な
 ライブ感を味わっていただけると幸いです。


設問1
(1)(2)空欄に入る言葉を答えさせる問題です。

「調査結果」セクションの「攻撃1」
IPアドレスが( a )の攻撃者が( b )に対し、SQLインジェクション
によって・・・搾取していた。


ログを見てみます。


SQLインジェクションなので、SELECT FROM WHEREみたいな
文が入っているのがそれでしょう。なので、
番号で言うと7,12,17,21
(20と22は別の攻撃と明言されてるので除きます)


どれだろうな?と思うのですが、ここで「搾取していた」という
言い回しで考えます。搾取できていたのなら、もう実行しなくて
いいわけですから、一番最後の実行が該当しそうです。


よって、番号21の「ipH」が入ります。


また、攻撃されたcgiは「search」であることもわかります。


(1)ipH
(2)search


(3)ipBは不正ログイン試行だ。その特徴は何か35字で。
   また、対策を35字以内で。


ログを見てみます。ipBは同じIDに色々なPASSでログインを何度も
試みています。なので、それを書きましょう。


具体的に、と書かれていないので「レインボーテーブル」や「辞書
攻撃」、「ブルートフォース」などの言葉は使いません。


対策ですが、ログイン試行回数の制限でしょう。OTP使わせると
か、そういうのはぶっ飛び過ぎです。「何度も繰り返し行われる不
正なログイン試行」の対応策です。


特徴
同じIDに対して様々なパスワードで、ログインを試行している。(29)

対策
同一IPアドレスからのログイン試行回数を制限する対策。(25)

※対策は字数少ないけど、これ以上ないので減点されてもいいや、で
 書きます。

 

設問2
(1)defgに入る言葉です。


dみたいなのは、転置といいます。eは文字を+1ずらしてるだけなので換
字といいます。fは暗号強度・・・とか入れたいんですけど「安全性」。
gは変換前と変換後を比べることで変換のクセを見破る攻撃なのですが、
選択平文でいいっすね。


d コ e エ f ウ g ク


(2)下線2
50字なので、40は書きたいかな。ここも、具体的にではないので。
設問下線とオレンジのライン、書いてますね。


この場合、これによってなにが引き起こされるか想像して書かなくてはい
けません。繰り返しになりますが「具体的に」ではないので、IDとパスワ
ードを不正利用し、本人になりすまされる・・・とか、ネットショッピン
グされちゃう・・・じゃないです。

単純に、


攻撃者が初期化する前の会員パスワードとIDの組み合わせを別の
サイトで試行する恐れがあるから。(46)


設問3
(1)空欄Cです。

本文をよく読みます。ブラウザの脆弱性をつく・・・が、OSやブラ
ウザ本体に、ではない。となれば、アドイン、アドオン、プラグイン
・・・なんでもいいような気がしますが。

アドイン

(2)下線1どのようにIDとパスワードを搾取されたか。50字で
   具体的に。

方法を具体的に書くことになりますけど、参考になるのは攻撃3、ロ
グ中の22番ですね。


このスクリプトはバナーをロードすると不正なHTML文が実行されちゃ
うんですね。これを使うとなると


IDとパスワードを入力する偽物の画面を表示し、IDとパスワー
ドを入力させて、攻撃者に送信する方法。(48)


次回は答え合わせと反省会だっ。

 

にしのくえすと Presented by にしの 2017