HOME»応用情報技術者試験掲示板»午後問の問1って回答はこんな感じでよかったですか
投稿する
お疲れさまです。
私もセッション管理と回答してしまったんですが、問題を読み直してみましたら、"脆4"(入力値チェックの不備によりデータベースが閲覧される)が"診4"に該当しているので、"診4"のチェックポイントとしては、"XMLの不備がないか"が正しい気がします。
なるほど!
数ある脆弱性のうち、「脆3で発見された脆弱性への対策」と指定してきてるので情報漏洩の防止に言及しないとダメですね。
日本語的にも「XMLの不備」ではちょっと違和感を覚えますね。
「XML解析の不備」ならいいけど。
私も"XMLの不備"は日本語に無理があると思いますが、おそらくSQLインジェクション攻撃を回避するソースコードになっていないということなんだろうな…と思ったので。
それに質問太郎さんのおっしゃる通り、"セッション管理の不備"では"診3"のチェックが"脆4"につながらないな…と。
午後問の問1って回答はこんな感じでよかったですか [1328]
さんたろさん(No.1)
午後問1 セキュリティ
1]a ウUDP b キ セッション管理
2]1) c 診3 2) f webサーバ g DNSサーバ
↑メールサーバは違うの??と思いましたがまあ、一応
3) SQLインジェクション
3]1)① イ データベースの確認 ② ウ定期的な監査
2)(自信なし)導入当初から、セキュリティ性の高い製品を選定するため
うまく書けませんでしたが、、、、書きたかったのは、
「 後付けでセキュリティ機能をつけようとすると、お金がかかったり、そもそもできる
ことが制限されちゃうでしょ。それってもったいないじゃない。。。みたいな」
以上、私の答えでしたが、もしよろしければ「違うんじゃなーい」とかの意見をぜひ聞きたいです。よろしくお願いします。
1]a ウUDP b キ セッション管理
2]1) c 診3 2) f webサーバ g DNSサーバ
↑メールサーバは違うの??と思いましたがまあ、一応
3) SQLインジェクション
3]1)① イ データベースの確認 ② ウ定期的な監査
2)(自信なし)導入当初から、セキュリティ性の高い製品を選定するため
うまく書けませんでしたが、、、、書きたかったのは、
「 後付けでセキュリティ機能をつけようとすると、お金がかかったり、そもそもできる
ことが制限されちゃうでしょ。それってもったいないじゃない。。。みたいな」
以上、私の答えでしたが、もしよろしければ「違うんじゃなーい」とかの意見をぜひ聞きたいです。よろしくお願いします。
2018.10.22 21:00
スミスさん(No.2)
最後の問題はセキュア設計について書けば良いかと思います。
2018.10.22 21:11
ゆうきさん(No.3)
昨日の受験お疲れ様でした。
設問2の(2)は、fはFW、gはWebサーバにしました。
DBMSが稼働しているWebサーバのポートの問題なので、メールサーバもDNSサーバも関係無いかと。
設問3の(2)は、「セキュリティの専門家を参加させる狙い」なので「脆弱性への対応が十分か意見を求める」というような意味の文章を書きました。
上記以外はさんたろ様と同じでした。
設問2の(2)は、fはFW、gはWebサーバにしました。
DBMSが稼働しているWebサーバのポートの問題なので、メールサーバもDNSサーバも関係無いかと。
設問3の(2)は、「セキュリティの専門家を参加させる狙い」なので「脆弱性への対応が十分か意見を求める」というような意味の文章を書きました。
上記以外はさんたろ様と同じでした。
2018.10.22 21:38
質問太郎さん(No.4)
横から質問失礼します。
設問1のbを多くの方がキのセッション管理と答えられているのですが、これはどういったことから導き出されているのでしょう?
というのも、セッション管理が不備であればセッションハイジャックされる可能性はありますが、その攻撃の特徴に表3の脆4にあるような非公開情報が閲覧されるのでしょうか?
私はXMLの不備で情報漏洩されるXXE攻撃と思いXMLにしているのですが…。
設問1のbを多くの方がキのセッション管理と答えられているのですが、これはどういったことから導き出されているのでしょう?
というのも、セッション管理が不備であればセッションハイジャックされる可能性はありますが、その攻撃の特徴に表3の脆4にあるような非公開情報が閲覧されるのでしょうか?
私はXMLの不備で情報漏洩されるXXE攻撃と思いXMLにしているのですが…。
2018.10.22 22:22
問1さん(No.5)
私も2(1)はFWとWebサーバにしました。
問題本文の中にそのような記載があったかと思います。
3(2)は問題文の中にこれといった決め手がなく何とでも書けるような気がしますね。
問題本文の中にそのような記載があったかと思います。
3(2)は問題文の中にこれといった決め手がなく何とでも書けるような気がしますね。
2018.10.22 22:41
さんたろさん(No.6)
拝見しました。皆さんよく考えられていますね。
F(またはG)をFWとのことでしたが、これは、当てはめてみると
FWの(略)OSが持つFW機能で(略)DBMSにアクセスできないようにする。という表現になるので
ちょいと日本語的にまずいので、うーん?となりました。そもそもFWはハードウェアの可能性が高いので、シスコとかfortigateなんかをイメージすると少し難しいのかなとも。
なんて思いました、、、以上のことはわからないんですけどね。
F(またはG)をFWとのことでしたが、これは、当てはめてみると
FWの(略)OSが持つFW機能で(略)DBMSにアクセスできないようにする。という表現になるので
ちょいと日本語的にまずいので、うーん?となりました。そもそもFWはハードウェアの可能性が高いので、シスコとかfortigateなんかをイメージすると少し難しいのかなとも。
なんて思いました、、、以上のことはわからないんですけどね。
2018.10.22 23:03
やばそうさん(No.7)
設問2(2)は(FW)と(WebサーバのOSが持つFWの機能)
ってことで~のOSが持つFW機能は(g)にしかかかってないんでしょうね
本文にも最初の方にサービスへのアクセス制限は、FW及び各サーバのOSが持つFW機能の両方で
って書かれてるし
ってことで~のOSが持つFW機能は(g)にしかかかってないんでしょうね
本文にも最初の方にサービスへのアクセス制限は、FW及び各サーバのOSが持つFW機能の両方で
って書かれてるし
2018.10.22 23:19
十三夜さん(No.8)
>質問太郎さん
お疲れさまです。
私もセッション管理と回答してしまったんですが、問題を読み直してみましたら、"脆4"(入力値チェックの不備によりデータベースが閲覧される)が"診4"に該当しているので、"診4"のチェックポイントとしては、"XMLの不備がないか"が正しい気がします。
2018.10.22 23:33
ゆうきさん(No.9)
FWと、WebサーバのOSがもつFW機能で、(略)TCPポートを閉塞して~
fにwebサーバ、gにFWだと仰る通り変ですが、fにFW、gにWebサーバだと特に変ということはないかと。
fとgに入れる言葉は順不同ではありません。
fにwebサーバ、gにFWだと仰る通り変ですが、fにFW、gにWebサーバだと特に変ということはないかと。
fとgに入れる言葉は順不同ではありません。
2018.10.22 23:36
最年長?さん(No.10)
専門家を入れる狙いは、たぶん、情報漏洩を防ぐためかと。
表3、診3に、「情報漏洩の恐れがある」という記載があるので、最終的にはそれを防止するのが目的と思いました。
専門的な知見を得るのも、それを最初からやるのも手段であり目的ではないと読みました。
果たして、いかに?
表3、診3に、「情報漏洩の恐れがある」という記載があるので、最終的にはそれを防止するのが目的と思いました。
専門的な知見を得るのも、それを最初からやるのも手段であり目的ではないと読みました。
果たして、いかに?
2018.10.22 23:56
最年長?さん(No.11)
『高度な暗号化技術を導入し、情報漏洩を防止すること」
的な感じ?
的な感じ?
2018.10.23 00:03
ギリギリ間に合ったさん(No.12)
私も設問1のbをセッション管理と書いたものですけど、理由はXXE攻撃を知らなかった(@_@)
設問2(3)もSQLインジェクションと書いたけど、SQLインジェクション攻撃と「攻撃」まで書かないとだめだという意見もあって、なんか不安になってきました。
設問2(3)もSQLインジェクションと書いたけど、SQLインジェクション攻撃と「攻撃」まで書かないとだめだという意見もあって、なんか不安になってきました。
2018.10.23 00:09
Rさん(No.13)
質問太郎さん>
本文中にWebアプリケーションでXMLのパース処理が行われているという記述がないので、そちらの回答も根拠に欠けるという状態です。
調べてみたらOWASPのWebアプリケーションのリスクTop10(2017版)に入ってました。が、それが問になっているとしたらマジかよと言った感想。
十三夜さん>
その「入力値チェックの不備により~」は診断した結果SQLインジェクション脆弱性があったということなので、XXE攻撃の根拠とするには薄い気がします。
ただ、どちらとも取れ無いこともないような気がする。というイヤな感じですね。
個人的にはXMLはUDPに対するただのミスリードだと思っています(笑)
本文中にWebアプリケーションでXMLのパース処理が行われているという記述がないので、そちらの回答も根拠に欠けるという状態です。
調べてみたらOWASPのWebアプリケーションのリスクTop10(2017版)に入ってました。が、それが問になっているとしたらマジかよと言った感想。
十三夜さん>
その「入力値チェックの不備により~」は診断した結果SQLインジェクション脆弱性があったということなので、XXE攻撃の根拠とするには薄い気がします。
ただ、どちらとも取れ無いこともないような気がする。というイヤな感じですね。
個人的にはXMLはUDPに対するただのミスリードだと思っています(笑)
2018.10.23 00:15
ゆうきさん(No.14)
> 最年長?さん
なるほど!
数ある脆弱性のうち、「脆3で発見された脆弱性への対策」と指定してきてるので情報漏洩の防止に言及しないとダメですね。
2018.10.23 00:35
ゆうきさん(No.15)
>Rさん
日本語的にも「XMLの不備」ではちょっと違和感を覚えますね。
「XML解析の不備」ならいいけど。
2018.10.23 00:56
yさん(No.16)
設問3(2)で問われているのは「狙い」なので、最終的な目的は情報漏えい防止だと思いますが、企画・設計段階で専門家を入れて何をさせるかと考えると、「運用開始前までに脆弱性を取り除く」が、直接的な狙いであり、解答になると思います。
2018.10.23 09:02
十三夜さん(No.17)
>Rさん、ゆうきさん
私も"XMLの不備"は日本語に無理があると思いますが、おそらくSQLインジェクション攻撃を回避するソースコードになっていないということなんだろうな…と思ったので。
それに質問太郎さんのおっしゃる通り、"セッション管理の不備"では"診3"のチェックが"脆4"につながらないな…と。
2018.10.23 12:11
ギリギリ間に合ったさん(No.18)
冷静に見返してみると、そもそもこのWebサーバ自体問題文に「商品を紹介するWebサーバ」と書いてあります。他社との取引や一般消費者が商品を購入したりするような説明は書いてありませんでした。つまり閲覧者によってWebページの表示が変わることはなく、全ての閲覧者が同じWebページ(情報)を閲覧する。
こういうWebシステムの場合って仮にセッションハイジャックされてもあまり被害はないのでしょうか?だからQ社も脆弱性診断でセッション管理はチェックしない?
Webの実業務をやったことがないので教えてください。
こういうWebシステムの場合って仮にセッションハイジャックされてもあまり被害はないのでしょうか?だからQ社も脆弱性診断でセッション管理はチェックしない?
Webの実業務をやったことがないので教えてください。
2018.10.23 12:45
yさん(No.19)
セッションをジャックした上でのsqlインジェクション攻撃と考えれば脆4に結びつくかと考えました。
2018.10.23 13:16
質問太郎さん(No.20)
話題にしていただき、ありがとうございました!!
2018.10.23 20:06