問1の問題はここまでのようです!
情報処理技術者試験 セキュリティマネジメント令和元年
春午後問題を解いていきます。
問題の解き方や考え方をわかりやすく、解説しながら基準
点46点の謎に迫る連載です(笑
1日2ページくらい問題を読んでいきたいと思います。
問1ー5
(読みにくい場合は、画像をクリックして拡大してね)
攻撃3は
ブルートフォース攻撃 無理やり不正ログイン
ってことなので、単純にログイン失敗でロックをする。その
試行回数を減らせばいいんだけど、サポートの電話が増えち
ゃうから困る・・・ってことだけども。パスワードって忘れ
ちゃうからねぇ。
まあ、付箋に書いてデスク前に貼るよりはマシだけどもね。
増えないようにする対応ってなんだろう?
攻撃4は
掲示板に他のサイトへの誘導を促す投稿
でした。攻撃の内容(前回)を見ると、スクリプトに直接
貼り付ける内容を流し込んでいる感じでしたね。
それでも、利用者認証はしたくないとのことなので。
タグとかを制限するとか、投稿数・字数を制限するとかし
か思いつかないけどな。特定のキーワードで弾くとか。
問1-6
(読みにくい場合は、画像をクリックして拡大してね)
対策かあ・・・
攻撃1も攻撃3もログイン失敗回数とそのユーザ数かな。
攻撃4は同じ投稿がされているとか、連続投稿とかかな。
この辺も文章が冗長で、まるっとしてるんだよな。さっ
くり「対策した」で、今まで通りいいだろうに・・・。
次回は設問を読んで、解いていくよ!!
