暗号認証攻撃手法|規格




2009年07月18日

情報セキュリティスペシャリスト試験 (SC) 2009/春 午後T問2

 
情報セキュリティスペシャリスト試験 (SC) 2009/春 午後T問2


☆過去の問題でどんなものがでたのか?について「答え」から探っていきます。

情報セキュリティスペシャリスト試験 合格保証版



問2

設問1 [脆弱性の評価]について(1)(2)に答えよ。


(1)本文中の下線@において、P君が脆弱性について”緊急”に相当すると判定した具体的な根拠は何か。50字以内で答えよ。

------------------------------
答え:(1)管理者権限が奪われ、DBサーバ内の個人情報が漏洩する可能性がある。

一般権限から管理者権限への権限昇格により、Webサーバと接続しているDBサーバの個人情報が流出する可能性がある、ということですね。試験用に同じシステムがある!というのも、過去の問題から見て注意すべき点だと思います。というのも、本番システムはメンテナンスの対象として注目されていますが、試験用のシステムについては「責任が明確でない」場合が多く、セキュリティパッチやウィルス定義ファイルの更新がおろそかになることがあるからです。


(2)本文中の下線Aにおいて、Q課長が、攻撃が実際に行われる可能性があると考えた根拠は何か。25字以内で答えよ。

------------------------------
答え:(2)攻撃手法がすでに公開されている。

図3のなかで「Exploitコードが公開されている」という文言があります。これは、あるソフトの脆弱性をついて不正な動作を再現できるものです。公開されている!ということですから悪意ある第三者はこれをつかって、簡単に攻撃をしかける可能性が高くなっています。やばいです!という設問なのでしょう。


設問2 [暫定的対策の検討]について(1)〜(4)に答えよ。


(1)本文中の「a」に入れるHTMLの要素名を、英文字6字以内で答えよ。

------------------------------
答え:(1)input

おっとっと、これはHTMLについても知識がないと答えられないのでは・・・POSTときているので、inputが思い浮かびましたが、危ないところでした。テクニカルエンジニアの部分も含んでいるので、知っていて当然!ということなのでしょう。


(2)本文中の下線Bにおいて、情報漏えいの可能性が生じる理由を、”クエリストリング”という語を用いて70字以内で答えよ。

------------------------------
答え:(2)Webサーバのアクセスログにクエリストリングが記録されるため、ログから入力データが読み取られる可能性がある。

POSTメソッドとGETメソッドの違いがわかるかどうかですね。Webサーバのアクセスログに残ってしまうのはGETメソッドのほう。したがって、POSTメソッドは使わなくていいかもしれませんが、新たに別の問題がでてくるから、採用しません!ということです。


(3)本文中の下線Cにおいて、暫定的対策を実現するために拒否条件として、IPSに登録すべきシグネチャの具体的内容を、40字以内で答えよ。

------------------------------
答え:(3)Xsenderを含むHTTPヘッダを検出する。

管理人は、IPSの設定をしたことはないのですが、問題文からして、当面はXsenderで始まるHTTPヘッダを検出して、監視することが第一となるのでしょうね(IPSなので検出したら、即遮断してくれるのかな?)。


(4)本文で述べているIPSによる対策に加えて、図2中の仕様の一部の設定を変更する対応も可能である。この一部とは、図2中の(a)〜(g)のいずれであるかを記号で答えよ。また、対策の内容について30字以内で答えよ。

------------------------------
答え:(4)f(内容)Webサーバプログラムの動作権限を最小限にとどめる

でました!権限の問題。なんでもかんでもルート権限でプログラムを動作させると、悪用されまっせ!という戒め!?この手の問題では「プログラム」「権限」「最小限に」がキーワードになりますね。これは過去の問題でも似た問題がでていたかと思います。


設問3 [修正プログラムの適用]について(1)(2)に答えよ。

(1)本文中の「b」に入れる適切な字句を、15字以内で答えよ。

------------------------------
答え:(b)スタンバイ状態にする。


(2)本文中の下線Dについて、Web販売システムにおける修正プログラム適用後のトラブルを予防するために、T課長への説明の前に実施すべき作業がある。適切と思われる作業内容を、40字以内で述べよ。

------------------------------
答え:動作試験用システムで、修正プログラム適用後の正常性を確認する。

そうなんです!パッチをあてたはいいけれど・・・どうも動作が安定しない・・・なんて恐ろしいことも、可能性としてはありうるわけで。本番システムに適用する前には社内システムにてパッチをあててみて、正常に動作することを確認することが重要となります(って、OSのパッチ毎にこれをやるとなると大変なような気がしますが)。リグレッションテストがすぐにできる環境ならば、パッチ以外のところに影響がないと言い切れるので安心できるのですが・・・








-----------------------------------------------------------------
情報セキュリティ基礎
 
 










posted by 管理人さん2 at 22:39| Comment(0) | TrackBack(1) | 過去の問題 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック

■暗号化 用語:暗号化【リンク集】
Excerpt: [[embed(http://www.ric.hi-ho.ne.jp/heelagi2000/master_flash_2007052001.swf,0,500,40)]]   ■暗号化 用語:暗..
Weblog: テクニカルエンジニア(情報セキュリティ)受験にむけて...
Tracked: 2009-07-19 19:40