にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

セキュマネ!令和元年秋午後問題解説(4) 問1 5−6

問1の問題はここまでのようです!

f:id:koharuwest:20200512155938p:plain


情報処理技術者試験 セキュリティマネジメント令和元年
春午後問題
を解いていきます。

問題の解き
方や考え方をわかりやすく、解説しながら基準
点46点の謎に迫る連載です(笑

1日2ページくらい問題を読んでいきたいと思います。

問1ー5

f:id:koharuwest:20200516102822p:plain


(読みにくい場合は、画像をクリックして拡大してね)

攻撃3は

ブルートフォース攻撃 無理やり不正ログイン


ってことなので、単純にログイン失敗でロックをする。その
試行回数を減らせばいいんだけど、サポートの電話が増えち
ゃうから困る・・・ってことだけども。パスワードって忘れ
ちゃうからねぇ。

まあ、付箋に書いてデスク前に貼るよりはマシだけどもね。

増えないようにする対応ってなんだろう?

攻撃4は

掲示板に他のサイトへの誘導を促す投稿

でした。攻撃の内容(前回)を見ると、スクリプトに直接
貼り付ける内容を流し込んでいる感じでしたね。

それでも、利用者認証はしたくないとのことなので。

タグとかを制限するとか、投稿数・字数を制限するとかし
か思いつかないけどな。特定のキーワードで弾くとか。

問1-6

f:id:koharuwest:20200516103104p:plain



(読みにくい場合は、画像をクリックして拡大してね)

対策かあ・・・
攻撃1も攻撃3もログイン失敗回数とそのユーザ数かな。

攻撃4は同じ投稿がされているとか、連続投稿とかかな。

この辺も文章が冗長で、まるっとしてるんだよな。さっ
くり「対策した」で、今まで通りいいだろうに・・・。

次回は設問を読んで、解いていくよ!!