[問題文・解答]
平成27年度4月に実施された基本情報技術者試験の午後試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[問題概要]
この問題は必須問題です。
出題分野は情報セキュリティで、問題の題材はインターネットを利用した受注管理システムのセキュリティです。
SQLインジェクションやクロスサイトスクリプティングなどの基本的な用語は知っている必要がありますが、比較的難易度の低い問題です。
出題分野は情報セキュリティで、問題の題材はインターネットを利用した受注管理システムのセキュリティです。
SQLインジェクションやクロスサイトスクリプティングなどの基本的な用語は知っている必要がありますが、比較的難易度の低い問題です。
[設問1]
P.6上段「取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際取引先PCのブラウザからの通信には、HTTPSを使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する」の記述よりこのシステムでの通信経路は
取引先PC→インターネット→RPS→Webサーバ→DBサーバ
であり、このうちHTTPS通信を行うのは取引先PC〜RPSの部分です。従って、「イ」が正解です。
[答] イ
P.6上段「取引先PCのブラウザからRPSを経由して受注管理アプリケーションにアクセスし、ログイン画面で利用者IDとパスワードを入力してログインする。その際取引先PCのブラウザからの通信には、HTTPSを使用する。RPSではディジタル証明書を使って、HTTPSからHTTPにプロトコルを変換する」の記述よりこのシステムでの通信経路は
取引先PC→インターネット→RPS→Webサーバ→DBサーバ
であり、このうちHTTPS通信を行うのは取引先PC〜RPSの部分です。従って、「イ」が正解です。
[答] イ
取引先PC→インターネット→RPS→Webサーバ→DBサーバ
であり、このうちHTTPS通信を行うのは取引先PC〜RPSの部分です。従って、「イ」が正解です。
[答] イ
[設問2]
a) P.6中段「想定していない操作をDBサーバに実行させてDBに不正アクセする」との記述よりWebページの入力フォームに不適切なSQL文を入力して意図しないDB操作を実行させるSQLインジェクションが適切です。
b) 表1中の「攻撃者によってWebページ内にスクリプトが埋め込まれてしまうbの脆弱性があるので、取引先の担当者が他のWebサイトに誘導されて、利用者IDとパスワードを奪取される」との記述より、クロスサイトスクリプティングが正解です。
[答] a) イ b) ウ
b) 表1中の「攻撃者によってWebページ内にスクリプトが埋め込まれてしまうbの脆弱性があるので、取引先の担当者が他のWebサイトに誘導されて、利用者IDとパスワードを奪取される」との記述より、クロスサイトスクリプティングが正解です。
[答] a) イ b) ウ
[設問3]
表1の指摘事項として「取引先の担当者がWebサーバ上の任意のファイルをダウンロード可能である」とあるように担当業務とは無関係のファイルにアクセス可能となっていることが問題です。対策として、取引先ごとにファイルへのアクセス権限を設定して、担当外のファイルにはアクセスできないようにする必要があります。解答群のうちでファイルへのアクセス権を限定しているのは「ウ」のみなのでこれが正解です。
[答] ウ
[答] ウ
[設問4]
下線②「ログイン時にパスワードを連続して間違えても利用者IDがロックされない」場合の問題点としてプルートフォース攻撃で想定される全てのパスワードの組合せでログイン試行された時にログイン成功してしまうという点があります。従って「イ」が正解です。
[答] イ
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
[答] イ
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿