高度試験の平成30年秋午前1の問題(全30問)を
3問ずつ解いていきます。問題の解き方や考え方をわ
かりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。
問13
クロスサイトスクリプティング対策に該当するものは
どれか。
ア WebサーバでSNMPエージェントを常時稼働させる
ことによって、攻撃を検知する。
イ WebサーバのOSにセキュリティパッチを適用する。
ウ Webページに入力されたデータの出力データが、H
TMLタグとして解釈されないように処理する。
エ 許容量を超えた大きさのデータをWebページに入力
することを禁止する。
問14
ブルートフォース攻撃に該当するものはどれか。
ア WebブラウザとWebサーバの間の通信で、認証が成
功してセッションが開始されているときに、Cookie
などのセッション情報を盗む。
イ コンピュータへのキー入力を全て記録して外部に送信
する。
ウ 使用可能な文字のあらゆる組合せをそれぞれパスワー
ドとして、繰り返しログインを試みる。
エ 正当な利用者のログインシーケンスを盗聴者が記録し
てサーバに送信する。
問15
脆弱性検査手法の一つであるファジングはどれか。
ア 既知の脆弱性に対するシステムの対応状況に注目し、
システムに導入されているソフトウェアのバージョ
ン及びパッチの適用状況の検査を行う。
イ ソフトウェアのデータの入出力に注目し、問題を引
き起こしそうなデータを大量に多様なパターンで入
力して挙動を観察し、脆弱性を見つける。
ウ ベンダや情報セキュリティ関連機関が提供するセキ
ュリティアドバイザリなどの最新のセキュリティ情
報に注目し、ソフトウェアの脆弱性の検査を行う。
エ ホワイトボックス検査の一つであり、ソフトウェア
の内部構造に注目し、ソースコードの構文をチェッ
クすることによって脆弱性を見つける。
(正解でござんすよ)
ウ
ウ
イ
(解説するぞなもし)
問13
クロスサイトはサーバへの信頼関係を利用して、サ
ーバに不正なスクリプトを実行させようとします。
問14
ブルートフォースは闇雲な腕力攻撃です。
問15
ファズは揺らす、とかそういう意味があります。