にしのくえすと

情報処理技術者試験のお勉強ブログ


にしのくえすととは?
・「情報処理技術者試験大好き」な人、「ICT資格取りたい」人のためのブログです。
・ITパス、セキュマネ、基本、応用、セキュスペ(情報処理安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解は勤務先とは無関係です。また、試験に関する記事は、自己責任でご利用ください。


・イラスト素材はAI CATCHER様のものを使用させていただいてます。素敵です!

↓ 電子書籍発売中です!「ネスペちゃん」「セスペちゃん」よろしくお願いです!
 
・作者のプロフィールはこちら  ・にしの作「資格本」電子書籍についてこちら
・作者の日記系ブログ(不定期)みがまえるよりはやく  ・「にしのくえすと」プライバシーポリシー

23日から25日のあいだは特別編成です
にしのF長期出張+にしのA里帰りのためお休みいただきます。
※twitterはやってます。

「あいぱすクエストりたーんず」と題して、ITパスポートの
過去の記事を再編集しつつご紹介するスタイルでお届けします。
26日から通常営業の予定です。よろしくお願いします。

登録セスペ:解答晒し祭り午後1

※お約束
・あくまで、解答はにしの個人の見解であり公式解答とは異なりま
 す。また、正解や合格を保証するものではありません。
・「解答晒し祭り」はあくまで趣味です。職務とは一切関係ありま
 せん。
・配点や採点方法は公開されておらず、公式のものではありません。
・解答を晒しているだけで、信頼度は低いものです。にしのの見解
 に、一喜一憂せず「アホな解答だなあ」くらいでお願いします。
・2chのほうが信頼性高いかもしれないっすよ。これマジです。
質問・意見・苦情・文句一切お断りします。(嫌になったらやめます)

※4/17 22:51更新しました。ほぼ完成版?
 合格はしてると思う。けど、精読するにはもうちょい時間かかるなあ。



設問1
(1)各4*3 12
a「カ」b「オ」c@エ」
盗聴は管理→Aさん→FWの形じゃないと無理よね。
つまり、管理の投げ先はAさん
AさんはFWになげて、戻りは管理にする。

(2)4
「5」
総当りの場合、PCセグメントから全部になるので。

(3)各4*3 12
送    「ケ」
宛 「カ」
サ 「キ」
不審ログインの5分前の記録を傍受してたとしたら
こうなるかなあ。

設問2
攻撃名4  
「中間者攻撃」
セッションフィクセーションも考えた。
MITBも考えられるけど。

機器名3
「FW」

設問3
(1)7
「サーバ管理セグメントとサーバセグメント間の
 通信を盗聴できないため。」
セグメントが違うからね。

(2)各4*2 8
SYN「CA」
SYN-ACK「BA」



設問1   5*2 10
内容  「L氏のIPアドレスとログイン時刻」
記録  「アクセス元IPアドレスとログイン時刻」


設問2
(1)5
「クロスサイトリクエストフォージェリ」

(2)4
「5」

(3) 4*2 8
c「現在のパスワード」
d「知り得ない」

(4)5*2 10
e「confirm」
f「submit」

設問3
(1)完3
「カ」「キ」

(2)4
「セッションハイジャック」

(3)6
「出力される特定の文字列をサニタイジングする。」


設問1 5
「接続元IPアドレスがプロキシサーバを
 経由していないもの。」

設問2
(1) 3*4 12
「aウ  bエ  cア  dイ」

(2) 3*2 6
e「1」f「3」

(3) 3
「ウ」


(4)3*2 6
h「IdP」 i「改ざん」


(5) 6
SAML Response内の属性情報が検証可能なため。」

物理的な接続状態にかかわらず・・・っていう意図。

設問3
交通(番号)2
「3

交通(理由)4
「社外からの通信はFWで拒否されているため。」

グル(番号)2
「1」

グル(理由)4
「グループウエアにより接続元IPアドレスが制限されているため。」

情報処理技術者試験お勉強ブログ「にしのくえすと」 Presented by にしのA&F