にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


 
電子書籍発売中です!
20161022221039 20170310230011
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1. 1
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!


作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

広告


午後問題にむけてのちょっとしたアドバイス その4

(4)解析が通用しない問題はどうするか
午後対策進んでますか?

セスペちゃん29、それは資格愛にあふれた電子書籍っ!
お買い求めくださいませませ。


前々回、前回と解析読みとオウム返しという必殺技を書いたわけ
だけども。※詳しくは電子書籍を読んでね!


これが通用しない問題も、当然あるのでどうすべきか。考えてみ
たいと思います。平成28年秋午後1の3。まずは下線の箇所。

f:id:koharuwest:20170327211904p:plain


プロキシ認証に対応したマルウエアもあるから効果は完全じゃな
いが使ってみる。・・・って、書いてますよね。で、問題。

f:id:koharuwest:20170327212003p:plain

マルウエアはどのようにして認証を成功させるのか50字
以内で具体的に書け。こう書かれているわけです。たぶん、答え方
としては。

「・・・という方法でプロキシ認証を成功させる。」と答えるので
しょう。


というところまでは分かるのですが。あまりにもヒントが少なすぎ
て解析読みはちょっと通用しないかもしれません。

そこで、「コナンくん解法」という技を使ってみます。
行くぜ名推理!


ヒントになりそうなところはプロキシ1の機能が書かれたこの部分
と。プロキシ2の機能が書かれたこの表です。

f:id:koharuwest:20170327212116p:plain

f:id:koharuwest:20170327212132p:plain

プロキシ1では認証とかは特になく、HTTPとHTTPSは通過させる感
じになっているのでしょう。


プロキシ2にあるプロキシ認証とはIDとパスワードを使用して、認
証に成功したPCのみWEBサイトを利用できるのでしょう。


と、するとIDとパスワードを盗んでしまえばプロキシ認証をかいく
ぐることができそう。もし、マルウエアにそのような機能があれば・
・・ですが。通信の盗聴かな?と、見当をつけます。


そこでその推理の裏付けを行います。IDとパスワードの認証につい
てはどうやら暗号化も共有鍵もなにもないベーシックな認証っぽいで
すよね。若干こじつけでしょうか?

これなら、IDとパスワードも盗めそうです。
なので、こう書いてみます。


「IDとパスワードを盗聴し、プロキシ認証を成功させる方法。」(29)


主語を足しましょう。


「PCからプロキシ2に送信されるIDとパスワードを盗聴し、プロキ
 シ認証を成功させる方法。」(45)


答えと見比べてみましょう。

f:id:koharuwest:20170327212251p:plain


うん。これも、中間点は貰えそうな予感がします。(あくまで筆者の見
解です)


このように、答えをある程度「自分で考えて書かなくてはいけない」パ
ターンの問題は多くはないのですがあります。そのときには。

「予想」をして「その根拠」を探し当てて、その両方を書いてあげると
正解に限りなく近くなります。


これぞコナンくん!というわけで、残り半月ばかり。諦めないで勉強頑
張りましょうね~!

情報処理技術者試験お勉強ブログ「にしのくえすと」 Presented by にしのA&F