受けてきたので復習がてら記録に残すこととする。
午前1免除は本当に楽ちんでこれがなくなったら受けると思うと憂鬱
全体的に知らないことが多かった、もっといろいろ勉強しないとだめだなという感想
結局過去問演習で用語を理解するのが良いのだろうね
午前1
免除だったのでやってない
午前2
問1
Webサーバに攻撃されたリクエストヘッダがあって悪用しようとした脆弱性は?
GET /cgi-bin/submit.cgi?user=;cat%20/etc/passwd HTTP/1.1 (略
解答は OSコマンドインジェクション
;cat%20/etc/passwd
が cat /etc/passwd
UNIXコマンドでパスワードファイル読み込もうとしているから
他の解答
SQLインジェクション
入力欄で'hoge' or 'fuga'='fuga'
みたいなのを入れることでSQL文を組み立てるクロスサイトスクリプティング
リンク先を別のサイトに置き換えるようなスクリプトを埋め込んだりする
問2
SAMLの説明
問3
エクスプロイトコードとは
攻撃コード、ソフトウェアの脆弱性を悪用
エクスプロイトコードのことマルウェア定義ファイル、マルウェア検知に使われる
pattern file, virus definition file のことメッセージとシークレットから計算されるハッシュコード
ハッシュ関数で照合すること?ログインのたびに変化する認証コード
OTPとか
問4
サイドチャネル攻撃とは
物理デバイスから得られるデータをみる
サイドチャネル攻撃ゴミ箱から情報を見つける
トラッシング通信を行う間に割り込んで盗聴
中間車攻撃SQL文を入れて改竄
SQLインジェクション
問5
ブロックチェーンの記述
問6
NOTICEとは?
NICTがダークネット観測する
NICTER プロジェクト らしい 知らなかった国内のグローバルIPに攻撃する
NOTICE申告したIoT機器への無料診断
わからんーIoTテストベッド
わからん IICテストベッドかなんかか?
問7
サイバーフィジカルセキュリティ対策フレームワーク
答え通りでは
問8
CRYPTRECの活動内容
暗号技術の技術検討、安全性向上
CRYPTREC情報セキュリティ対策の推進
情報セキュリティ対策推進会議?情報セキュリティマネジメントシステムを認証して評価
ISMS暗号モジュール試験報告書作成支援
CRYPTIPA
問9
3Dセキュア
そのまま PINとかセキュリティコードとかは漏れがち
問10
ネットバンキング MITB対策に有効なのは
トランザクション証明が効果的
問11
クラウドサービス定義が云々
どこまで責任を負うか考えればよし
問12
HTTPSのSecure属性
SecureついているCookieはHTTPには送らないとか仕組みを理解する
問13
ディジタルフォレンジックスとは
画像や音楽に著作権者情報を入れる
電子透かし?実際に攻撃して試験
Penetration Test話術や盗み聞き
ソーシャルエンジニアリングデータを調査分析
ディジタルフォレンジックス
問14
DMZのDBを内部に入れるときのFWの設定変更
そもそもDMZに入れるなって言うお話だけど
アを削除するとインターネットからWEBサーバにアクセスできなくなる
イを削除しないと存在しないDBへのルールが残るので必要な者だけを許可するために削除する
ウを追加するとWEBサーバからDBにSSHできてしまう
エを追加してもあんまり意味ないけどODBCはWEBに投げるものではない
問15
DNSSECで実現できること
改竄されてないことの検証
DNSSEC通信暗号化 ゾーン情報漏洩対策
DNSSECは暗号化しない 暗号化するには DNS over TLS か DNS over HTTPS似た文字で正規サイトに見せかけ防止
関係ないURLの入力間違いで偽サイト
タイポスワッティングとかいわれるやつ
問16
SMTP-AUTH
SMTPはユーザ認証がないからそれを追加する仕組み
問17
IP25Bとは
動的IPから送られた25番ポート(SMTP)の通信をブロックする仕組み
問18
サブネットがわからないPCの名前解決
ブロードキャストかつ自分自身がわからないときはどうすればよいか、全部に聞く
問19
リモートアクセスで認証情報をやりとりするプロトコルはどれ
問20
L2でループを防ぐプロトコルは?
問21
DBMSがトランザクションのコミット完了はいつか
ログまで完全に完了してからでないと完全性が担保できない
問22
ソフトウェア要件定義の仮想の人物
エピック
関連するユーザーストーリの集合ステークホルダ
利害関係者プロダクトオーナ
アジャイル開発とかでの責任者、ビジネス研ぎ出芽わかっている人がやるはずペルソナ
謎の登場人物
問23
アジャイルでのふりかえりを行うタイミングは
次のスプリントが始まる前のタイミング
問24
計算問題
問25
プライバシーマークの監査での指摘事項
よくわからないけど、「取得があった場合だけ」ってのがだめそう
定期的にやるのが良いと言われてる気がする