情報処理技術者試験 レベル4 情報処理安全確保支援士試験
の令和2年度午後2問題(全25問)を隔日3問ずつ解いてい
きます。問題の解き方や考え方を理解し、暗記していきましょ
う。
なお、問題の引用ルールはIPAに準じています。
※この年度は、コロナの影響でこの回のみ試験がありました。
問1
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が悪
用しようとしていた脆弱性はどれか。ここで、HTTPリク
エストヘッダ中の"%20"は空白を意味する。
ア HTTPヘッダインジェクション
(HTTP Response Splitting)
イ OSコマンドインジェクション
ウ SQLインジェクション
エ クロスサイトスクリプティング
問2
SAML(SecurityAssertionMarkupLanguage)の説明とし
て、最も適切なものはどれか。
ア Webサービスに関する情報を公開し、それらが提供す
る機能などを検索可能にするための仕様
イ 権限がない利用者による読取り、改ざんから電子メー
ルを保護して送信するための仕様
ウ ディジタル署名に使われる鍵情報を効率よく管理する
ためのWebサービスの仕様
エ 認証情報に加え、属性情報とアクセス制御情報を異な
るドメインに伝達するためのWebのサービス仕様
問3
エクスプロイトコードの説明はどれか。
ア 攻撃コードとも呼ばれ、ソフトウェアの脆弱性を悪用
するコードのことであり、使い方によっては脆弱性の
検証に役立つこともある。
イ マルウェア定義ファイルとも呼ばれ、マルウェアを特
定するための特徴的なコードのことであり、マルウェ
ア対策ソフトによるマルウェアの検知に用いられる。
ウ メッセージとシークレットデータから計算されるハッ
シュコードのことであり、メッセージの改ざん検知に
用いられる。
エ ログインのたびに変化する認証コードのことであり、
窃取されても再利用できないので不正アクセスを防ぐ。
(正解)
イエア
(本日のクリティカルフレーズ)
・問題に潜む、解答を導くフレーズを赤字で示しています。
こうきたら、こう返すフレーズですので、要暗記です。
・紫字は解説となっています
問1
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が悪
用しようとしていた脆弱性はどれか。ここで、HTTPリク
エストヘッダ中の"%20"は空白を意味する。
ア HTTPヘッダインジェクション
(HTTP Response Splitting)
イ OSコマンドインジェクション
ウ SQLインジェクション
エ クロスサイトスクリプティング
ヘッダ使ってるんだからヘッダインジェクションでしょ?
ってなるんですが、CGIコマンドでパスワード見ようと
してますね・・・
問2
SAML(Security Assertion Markup Language)の説明とし
て、最も適切なものはどれか。
ア Webサービスに関する情報を公開し、それらが提供す
る機能などを検索可能にするための仕様
イ 権限がない利用者による読取り、改ざんから電子メー
ルを保護して送信するための仕様
ウ ディジタル署名に使われる鍵情報を効率よく管理する
ためのWebサービスの仕様
エ 認証情報に加え、属性情報とアクセス制御情報を異な
るドメインに伝達するためのWebのサービス仕様
問3
エクスプロイトコードの説明はどれか。
ア 攻撃コードとも呼ばれ、ソフトウェアの脆弱性を悪用
するコードのことであり、使い方によっては脆弱性の
検証に役立つこともある。
イ マルウェア定義ファイルとも呼ばれ、マルウェアを特
定するための特徴的なコードのことであり、マルウェ
ア対策ソフトによるマルウェアの検知に用いられる。
ウ メッセージとシークレットデータから計算されるハッ
シュコードのことであり、メッセージの改ざん検知に
用いられる。
エ ログインのたびに変化する認証コードのことであり、
窃取されても再利用できないので不正アクセスを防ぐ。