にしのクエスト2

情報処理技術者試験と資格学校講師の日常

.png

20210620102927

まいにちSC 令和2年度問題解説 問1 問2 問3

情報処理技術者試験 レベル4 情報処理安全確保支援士試験
の令和2年度午後2問題(全25問)を隔日3問ずつ解いてい
きます。問題の解き方や考え方を理解し、暗記していきましょ
う。

なお、問題の引用ルールはIPAに準じています。

※この年度は、コロナの影響でこの回のみ試験がありました。

f:id:koharuwest:20200727231056p:plain

問1
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が悪
用しようとしていた脆弱性はどれか。ここで、HTTPリク
エストヘッダ中の"%20"は空白を意味する。

f:id:koharuwest:20210911002647p:plain

ア    HTTPヘッダインジェクション
  (HTTP Response Splitting)
イ    OSコマンドインジェクション
ウ    SQLインジェクション
エ    クロスサイトスクリプティング

問2
SAML(SecurityAssertionMarkupLanguage)の説明とし
て、最も適切なものはどれか。

ア    Webサービスに関する情報を公開し、それらが提供す
  る機能などを検索可能にするための仕様
イ    権限がない利用者による読取り、改ざんから電子メー
  ルを保護して送信するための仕様
ウ    ディジタル署名に使われる鍵情報を効率よく管理する
  ためのWebサービスの仕様
エ    認証情報に加え、属性情報とアクセス制御情報を異な
  るドメインに伝達するためのWebのサービス仕様


問3
エクスプロイトコードの説明はどれか。

ア    攻撃コードとも呼ばれ、ソフトウェアの脆弱性を悪用
  するコードのことであり、使い方によっては脆弱性の
  検証に役立つこともある。
イ    マルウェア定義ファイルとも呼ばれ、マルウェアを特
  定するための特徴的なコードのことであり、マルウェ
  ア対策ソフトによるマルウェアの検知に用いられる。
ウ    メッセージとシークレットデータから計算されるハッ
  シュコードのことであり、メッセージの改ざん検知に
  用いられる。
エ    ログインのたびに変化する認証コードのことであり、
  窃取されても再利用できないので不正アクセスを防ぐ。


(正解)

イエア

(本日のクリティカルフレーズ)
・問題に潜む、解答を導くフレーズを赤字で示しています。
 こうきたら、こう返すフレーズですので、要暗記です。
・紫字は解説となっています

問1
Webサーバのログを分析したところ、Webサーバへの攻
撃と思われるHTTPリクエストヘッダが記録されていた。
次のHTTPリクエストヘッダから推測できる、攻撃者が悪
用しようとしていた脆弱性はどれか。ここで、HTTPリク
エストヘッダ中の"%20"は空白を意味する。

f:id:koharuwest:20210911002647p:plain

ア    HTTPヘッダインジェクション
  (HTTP Response Splitting)
イ    OSコマンドインジェクション
ウ    SQLインジェクション
エ    クロスサイトスクリプティング

ヘッダ使ってるんだからヘッダインジェクションでしょ?
ってなるんですが、CGIコマンドでパスワード見ようと
してますね・・・


問2
SAML(Security Assertion Markup Language)の説明とし
て、最も適切なものはどれか。

ア    Webサービスに関する情報を公開し、それらが提供す
  る機能などを検索可能にするための仕様
イ    権限がない利用者による読取り、改ざんから電子メー
  ルを保護して送信するための仕様
ウ    ディジタル署名に使われる鍵情報を効率よく管理する
  ためのWebサービスの仕様
   認証情報に加え、属性情報とアクセス制御情報を異な
  るドメインに伝達するためのWebのサービス仕様


問3
エクスプロイトコードの説明はどれか。

   攻撃コードとも呼ばれ、ソフトウェアの脆弱性を悪用
  するコードのことであり、使い方によっては脆弱性の
  検証に役立つこともある。
イ    マルウェア定義ファイルとも呼ばれ、マルウェアを特
  定するための特徴的なコードのことであり、マルウェ
  ア対策ソフトによるマルウェアの検知に用いられる。
ウ    メッセージとシークレットデータから計算されるハッ
  シュコードのことであり、メッセージの改ざん検知に
  用いられる。
エ    ログインのたびに変化する認証コードのことであり、
  窃取されても再利用できないので不正アクセスを防ぐ。