にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20240615101703

まいにちSC 平成30年秋問題解説 問13 問14 問15

Authにオース!ってか。

f:id:koharuwest:20200705075614p:plain

情報処理安全確保支援士の平成30年秋 午前2問題
(全25問)を3問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。

問13
Webアプリケーションの脆弱性を悪用する攻撃手法のう
ち、Webページ上で入力した文字列がPerlのsystem関数
やPHPのexec関数などに渡されることを利用し、不正に
シェルスクリプトを実行させるものは、どれに分類され
るか。

ア HTTPヘッダインジェクション
イ OSコマンドインジェクション
ウ クロスサイトリクエストフォージェリ
エ セッションハイジャック


問14
SMTP-AUTHの特徴はどれか。

ア ISP管理下の動的IPアドレスから管理外ネットワー
  クのメールサーバへのSMTP接続を禁止する。
イ 電子メール送信元のサーバが、送信元ドメインの
  DNSに登録されていることを確認して、電子メー
  ルを受信する。
ウ メールクライアントからメールサーバへの電子メ
  ール送信時に、利用者IDとパスワードによる利用
  者認証を行う。
エ メールクライアントからメールサーバへの電子メ
  ール送信は、POP接続で利用者認証済みの場合に
  だけ許可する。


問15
TLSに関する記述のうち、適切なものはどれか。

ア TLSで使用するWebサーバのディジタル証明書には
  IPアドレスの組込みが必須なので、WebサーバのIP
  アドレスを変更する場合は、ディジタル証明書を再
  度取得する必要がある。
イ TLSで使用する共通鍵の長さは、128ビット未満で
  任意に指定する。
ウ TLSで使用する個人認証用のディジタル証明書は、
  ICカードにも格納することができ、利用するPCを特
  定のPCに限定する必要はない。
エ TLSはWebサーバを経由した特定の利用者が通信す
  るためのプロトコルであり、Webサーバへの事前の
  利用者登録が不可欠である。


(正解でござんすよ)





(解説するぞなもし)

13
OSコマンドインジェクションは、OSのコマンドを利用して
動的なページを作るような(PHPとか)ものを対象に不正な実行を
行わせようとします。

14
SMTP-AUTHですが、そもそも認証機能のないSMTPに対して、認証機能を
設けることで正当なユーザからの送信に限定する仕組みのことです。

15
ア IPアドレスだけではなくFQDNも使用可能です。FQDNならIPアドレスが
  変更されても大丈夫です。
イ 256ビットまで可能です。
エ 事前の登録は不要です。