にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20201108175215

まいにちSC 平成30年春問題解説 問1 問2 問3

新しい連載ですよ!
f:id:koharuwest:20200823231901p:plain

情報処理安全確保支援士試験の平成30年春午前の問
題(全25問)を3問ずつ解いていきます。問題の解
き方や考え方をわかりやすく、解説してみる連載です。

なお、問題の引用ルールはIPAに準じています。


問1
CVSS v3の評価基準には、基本評価基準、現状評価基
準、環境評価基準の三つがある。基本評価基準の説明
はどれか。


ア 機密性への影響、どこから攻撃が可能かといった攻撃
 元区分、攻撃する際に必要な特権レベルなど、脆弱性
 そのものの特性を評価する。

イ 攻撃される可能性、利用可能な対策のレベル、脆弱性
 情報の信頼性など、評価時点における脆弱性の特性を
 評価する。

ウ 脆弱性を悪用した攻撃シナリオについて、機会、正当
 化、動機の三つの観点から、脆弱性が悪用される基本
 的なリスクを評価する。

エ 利用者のシステムやネットワークにおける情報セキュ
 リティ対策など、攻撃の難易度や攻撃による影響度を
 再評価し、脆弱性の最終的な深刻度を評価する。

問2
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が
悪用しようとしている脆弱性はどれか。ここで、HTTP
リクエストヘッダはデコード済みである。


〔HTTPリクエストヘッダの部分〕
GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip、deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive


ア HTTPヘッダインジェクション
イ OSコマンドインジェクション
ウ SQLインジェクション
エ クロスサイトスクリプテイング


問3
XMLディジタル署名の特徴のうち、適切なものはどれ
か。


ア XML文書中の、任意のエレメントに対してデタッチ署名
 (Detached Signature)を付けることができる。

イ エンベローピング署名(Enveloping Signature)では一
 つの署名対象に必ず複数の署名を付ける。

ウ 署名形式として、CMS(Cryptographic Message Syntax)を
 用いる。

エ 署名対象と署名アルゴリズムをASN.1によって記述する。

 

 


(正解でござんすよ)





(解説するぞなもし)


問1

基本評価基準 それそのものの深刻度です。ユーザに左右されません
現状評価基準 現時点での深刻度です。ユーザに左右されませんが、時間に左右されます。
環境評価基準 最終的な基準で、ユーザによって変化します

なので、アになります。

問2

OSに任意のコマンドを実行させようとしているので、
イになります。

問3
ア 正解です。
イ エンベロービングは親の立場なので、署名は一つ。
ウ XMLを使います
エ XMLを使います。