午後Ⅱ
問2
Webで見つけた解答例。
【SC】情報処理安全確保支援士試験 PART117 (909)
https://2ch.vet/re_ikura_lic_1523759954_z_0
午後Ⅱ 解答例
Imgur: The magic of the Internet
↑ 全体に自分の言葉で回答しすぎではないか?もっと問題文の言葉を使って回答すべきと思う。
自分の解答
青文字…おそらく正解だろう
赤文字…間違い or 自信がない
<午後Ⅱ 問2>
設問1
(1)
POSTで送信しHTTPのステータスが200で返される攻撃(30文字/35文字)
(2)
WebサイトYの全ファイルと比較(16文字/20文字)
(3)
公開鍵による認証方式(10文字/10文字)
設問2
b:Webサイトの構築に使用したWebアプリケーションフレームワークならびに使用したソフトウェア(44文字/50文字)
設問3
c:ディレクトリ(トラバーサル)
d:アカウント クロスサイト(リクエストフォージェリ)
e:HTTP(ヘッダインジェクション)
f:(クリック)ジャッキング
設問4
(1)
g:30
h:0
(2)エ <script>alert('NG');</script>
(3)
j:(う)のPOSTデータにcode=1000021を入力して選択ボタンをクリックする
(39文字/40文字) ※(う)は1文字として記入
(4)
k:一般会員と有料会員(9文字/15文字)
l:一般会員が限定商品を参照購入できないこと(20文字/20文字)
※ 「参照購入」ではなく「検索選択」とすべきだったかも。回答は全て問題文中の言葉を使って書くのが基本だから
設問5
レビューポイントに示されたセキュリティ対策がされた報告書提出を検収条件とする記載(40文字/40文字)
設問6
それぞれの脆弱性に対応する具体的な実装方法を記載することで誤った実装を防ぐ利用(39文字/40文字)
※ 「それぞれの脆弱性」ではなく「個々の脆弱性」とすべきだったかも。
<設問6の詳細>
※ P19の上の5行の言葉をできるだけ使った。
※ P19で、セキュリティガイド第1版から第2版を作る際に「誤った実装を防ぐ」ことを目的にしている。これが解答のキーになる(のでは)と思う。
問題文を追って行くと
P19 セキュリティガイド 第2版ができた ※ここで改善の目的に触れている
P21 診断書 第1版 ができた
P26 診断書 第2版 に改善された
P27 セキュリティガイド 第3版ができた(レビューポイント追加)
つまり
①個々の脆弱性が出てきたおかげで(それらに対処する診断書ができ、その結果)ガイドが改善されているわけだが、
②そのガイドの目的は「具体的な実装方法を記載する」ことにより「誤った実装を防ぐ」ことにある(P19)のだから
①+②すると
「個々の脆弱性のおかげでガイドに具体的な実装方法を記載することができ、それによって誤った実装を防ぐ」ことができているわけだ。
それを③問題文に聞かれていることに回答する形に変えていく。
問題文
「…ガイドを改善するためにどのように利用できるか?」
回答
「…という利用」で答えるべき。
最後に ①+②+③を問題文の指定(40文字)に合わせる と
「個々の脆弱性に対応する具体的な実装方法を記載することで誤った実装を防ぐ利用」(39文字/40文字)
になる。
参考)
直前に読んでおいてよかった。とても参考になった。
<5ch(旧2ch)の解答例まとめ>
https://2ch.vet/re_ikura_lic_1523759954_z_0#287
フル解答例
検討)
設問1
(1)アクセスログに残らない攻撃とは?POST送信か?
設問1
(2)WebサイトYの全ファイルと比較?差分比較?
設問2
各Webサイト担当者に報告させた「 b 」とは?
設問4
(1)bag' and '1'='1 の件数は?100件?30件?
設問4
(3)
(う)は3文字カウントか?1文字か?
画面遷移は?code値は?
「一般会員」「有料会員」の言葉は使っちゃダメ?
k にもあった…
「検証用の」という言葉は必要?
設問5
設問6