にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

まいにち高度 平成30年秋問題解説 問13 問14 問15

f:id:koharuwest:20200921225242p:plain

高度試験の平成30年秋午前1の問題(全30問)を
3問ずつ解いていきます。問題の解き方や考え方をわ
かりやすく、解説してみる連載です。

なお、問題の引用ルールはIPAに準じています。


問13
クロスサイトスクリプティング対策に該当するものは
どれか。

ア WebサーバでSNMPエージェントを常時稼働させる
  ことによって、攻撃を検知する。
イ WebサーバのOSにセキュリティパッチを適用する。
ウ Webページに入力されたデータの出力データが、H
  TMLタグとして解釈されないように処理する。
エ 許容量を超えた大きさのデータをWebページに入力
  することを禁止する。


問14
ブルートフォース攻撃に該当するものはどれか。

ア WebブラウザとWebサーバの間の通信で、認証が成
  功してセッションが開始されているときに、Cookie
  などのセッション情報を盗む。
イ コンピュータへのキー入力を全て記録して外部に送信
  する。
ウ 使用可能な文字のあらゆる組合せをそれぞれパスワー
  ドとして、繰り返しログインを試みる。
エ 正当な利用者のログインシーケンスを盗聴者が記録し
  てサーバに送信する。


問15
脆弱性検査手法の一つであるファジングはどれか。

ア 既知の脆弱性に対するシステムの対応状況に注目し、
  システムに導入されているソフトウェアのバージョ
  ン及びパッチの適用状況の検査を行う。
イ ソフトウェアのデータの入出力に注目し、問題を引
  き起こしそうなデータを大量に多様なパターンで入
  力して挙動を観察し、脆弱性を見つける。
ウ ベンダや情報セキュリティ関連機関が提供するセキ
  ュリティアドバイザリなどの最新のセキュリティ情
  報に注目し、ソフトウェアの脆弱性の検査を行う。
エ ホワイトボックス検査の一つであり、ソフトウェア
  の内部構造に注目し、ソースコードの構文をチェッ
  クすることによって脆弱性を見つける。

 


(正解でござんすよ)





(解説するぞなもし)


問13
クロスサイトはサーバへの信頼関係を利用して、サ
ーバに不正なスクリプトを実行させようとします。

問14
ブルートフォースは闇雲な腕力攻撃です。

問15
ファズは揺らす、とかそういう意味があります。