新しい連載ですよ!
情報処理安全確保支援士試験の平成30年春午前の問
題(全25問)を3問ずつ解いていきます。問題の解
き方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。
問1
CVSS v3の評価基準には、基本評価基準、現状評価基
準、環境評価基準の三つがある。基本評価基準の説明
はどれか。
ア 機密性への影響、どこから攻撃が可能かといった攻撃
元区分、攻撃する際に必要な特権レベルなど、脆弱性
そのものの特性を評価する。
イ 攻撃される可能性、利用可能な対策のレベル、脆弱性
情報の信頼性など、評価時点における脆弱性の特性を
評価する。
ウ 脆弱性を悪用した攻撃シナリオについて、機会、正当
化、動機の三つの観点から、脆弱性が悪用される基本
的なリスクを評価する。
エ 利用者のシステムやネットワークにおける情報セキュ
リティ対策など、攻撃の難易度や攻撃による影響度を
再評価し、脆弱性の最終的な深刻度を評価する。
問2
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が
悪用しようとしている脆弱性はどれか。ここで、HTTP
リクエストヘッダはデコード済みである。
〔HTTPリクエストヘッダの部分〕
GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
UA-CPU: x86
Accept-Encoding: gzip、deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive
ア HTTPヘッダインジェクション
イ OSコマンドインジェクション
ウ SQLインジェクション
エ クロスサイトスクリプテイング
問3
XMLディジタル署名の特徴のうち、適切なものはどれ
か。
ア XML文書中の、任意のエレメントに対してデタッチ署名
(Detached Signature)を付けることができる。
イ エンベローピング署名(Enveloping Signature)では一
つの署名対象に必ず複数の署名を付ける。
ウ 署名形式として、CMS(Cryptographic Message Syntax)を
用いる。
エ 署名対象と署名アルゴリズムをASN.1によって記述する。
(正解でござんすよ)
ア
イ
ア
(解説するぞなもし)
問1
基本評価基準 それそのものの深刻度です。ユーザに左右されません
現状評価基準 現時点での深刻度です。ユーザに左右されませんが、時間に左右されます。
環境評価基準 最終的な基準で、ユーザによって変化します
なので、アになります。
問2
OSに任意のコマンドを実行させようとしているので、
イになります。
問3
ア 正解です。
イ エンベロービングは親の立場なので、署名は一つ。
ウ XMLを使います
エ XMLを使います。