Authにオース！ってか。

情報処理安全確保支援士の平成３０年秋　午前２問題
（全２５問）を３問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはＩＰＡに準じています。

問１３
Webアプリケーションの脆弱性を悪用する攻撃手法のう
ち、Webページ上で入力した文字列がPerlのsystem関数
やPHPのexec関数などに渡されることを利用し、不正に
シェルスクリプトを実行させるものは、どれに分類され
るか。

ア　HTTPヘッダインジェクション
イ　OSコマンドインジェクション
ウ　クロスサイトリクエストフォージェリ
エ　セッションハイジャック

問１４
SMTP-AUTHの特徴はどれか。

ア　ISP管理下の動的IPアドレスから管理外ネットワー
　　クのメールサーバへのSMTP接続を禁止する。
イ　電子メール送信元のサーバが、送信元ドメインの
　　DNSに登録されていることを確認して、電子メー
　　ルを受信する。
ウ　メールクライアントからメールサーバへの電子メ
　　ール送信時に、利用者IDとパスワードによる利用
　　者認証を行う。
エ　メールクライアントからメールサーバへの電子メ
　　ール送信は、POP接続で利用者認証済みの場合に
　　だけ許可する。

問１５
TLSに関する記述のうち、適切なものはどれか。

ア　TLSで使用するWebサーバのディジタル証明書には
　　IPアドレスの組込みが必須なので、WebサーバのIP
　　アドレスを変更する場合は、ディジタル証明書を再
　　度取得する必要がある。
イ　TLSで使用する共通鍵の長さは、128ビット未満で
　　任意に指定する。
ウ　TLSで使用する個人認証用のディジタル証明書は、
　　ICカードにも格納することができ、利用するPCを特
　　定のPCに限定する必要はない。
エ　TLSはWebサーバを経由した特定の利用者が通信す
　　るためのプロトコルであり、Webサーバへの事前の
　　利用者登録が不可欠である。

（正解でござんすよ）

イ
ウ
ウ

（解説するぞなもし）

１３
ＯＳコマンドインジェクションは、ＯＳのコマンドを利用して
動的なページを作るような(PHPとか）ものを対象に不正な実行を
行わせようとします。

１４
SMTP-AUTHですが、そもそも認証機能のないSMTPに対して、認証機能を
設けることで正当なユーザからの送信に限定する仕組みのことです。

１５
ア　IPアドレスだけではなくFQDNも使用可能です。FQDNならIPアドレスが
　　変更されても大丈夫です。
イ　256ビットまで可能です。
エ　事前の登録は不要です。