Authにオース!ってか。
情報処理安全確保支援士の平成30年秋 午前2問題
(全25問)を3問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。
問13
Webアプリケーションの脆弱性を悪用する攻撃手法のう
ち、Webページ上で入力した文字列がPerlのsystem関数
やPHPのexec関数などに渡されることを利用し、不正に
シェルスクリプトを実行させるものは、どれに分類され
るか。
ア HTTPヘッダインジェクション
イ OSコマンドインジェクション
ウ クロスサイトリクエストフォージェリ
エ セッションハイジャック
問14
SMTP-AUTHの特徴はどれか。
ア ISP管理下の動的IPアドレスから管理外ネットワー
クのメールサーバへのSMTP接続を禁止する。
イ 電子メール送信元のサーバが、送信元ドメインの
DNSに登録されていることを確認して、電子メー
ルを受信する。
ウ メールクライアントからメールサーバへの電子メ
ール送信時に、利用者IDとパスワードによる利用
者認証を行う。
エ メールクライアントからメールサーバへの電子メ
ール送信は、POP接続で利用者認証済みの場合に
だけ許可する。
問15
TLSに関する記述のうち、適切なものはどれか。
ア TLSで使用するWebサーバのディジタル証明書には
IPアドレスの組込みが必須なので、WebサーバのIP
アドレスを変更する場合は、ディジタル証明書を再
度取得する必要がある。
イ TLSで使用する共通鍵の長さは、128ビット未満で
任意に指定する。
ウ TLSで使用する個人認証用のディジタル証明書は、
ICカードにも格納することができ、利用するPCを特
定のPCに限定する必要はない。
エ TLSはWebサーバを経由した特定の利用者が通信す
るためのプロトコルであり、Webサーバへの事前の
利用者登録が不可欠である。
(正解でござんすよ)
イ
ウ
ウ
(解説するぞなもし)
13
OSコマンドインジェクションは、OSのコマンドを利用して
動的なページを作るような(PHPとか)ものを対象に不正な実行を
行わせようとします。
14
SMTP-AUTHですが、そもそも認証機能のないSMTPに対して、認証機能を
設けることで正当なユーザからの送信に限定する仕組みのことです。
15
ア IPアドレスだけではなくFQDNも使用可能です。FQDNならIPアドレスが
変更されても大丈夫です。
イ 256ビットまで可能です。
エ 事前の登録は不要です。