人生楽しく(知識と知恵と副業)

いろいろ書いてみます。某企業のシステム部のアラフィフのおじさんです。

応用情報技術者試験 問題㉜

Q:クロスサイトスクリプティングとは
A:Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する
[参 平成25年度 秋期 応用情報技術者試験 午前 問42]

Q:クロスサイトスクリプティングとは
A:攻撃者が用意したスクリプトを,閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み,閲覧者のWebブラウザ上でスクリプトを実行させる。
[参 平成27年度 秋期 応用情報技術者試験 午前 問36]

Q:クロスサイトリクエストフォージェリ
A:Webサイトに不正なスクリプトを埋め込み、利用者に気付かれずに別のウェブサイトを不正に操作させる攻撃手法。Webサイトの利用時は、リクエストの発信元の正当性を確認し、作業後は必ずログアウトすることが対策となる。

Q:クリックジャッキング攻撃とは
A:WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し,WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
[参 平成28年度 春期 情報セキュリティマネジメント試験 午前 問22]

Q:ドライブバイダウンロード攻撃とは。
A:利用者がWebサイトを閲覧したとき,利用者に気付かれないように,利用者のPCに不正プログラムを転送させる。
[参 平成29年度 秋期 応用情報技術者試験 午前 問40]

Q:エクスプロイトキットとは
A:OSやアプリケーションソフトウェア脆弱性を悪用して攻撃するツール
[参 令和元年度 秋期 応用情報技術者試験 午前 問42]

Q:SQLインジェクション
A:Webページ上で利用者がデータを入力する箇所に、特殊なコマンド(「< >」など)を使うことで、内部のレコードを不正に操作し、情報の改ざんや消去を行う攻撃手法のこと。主な対策として下記が挙げられる。エスケープ処理 : 入力フォームの内容から特殊なコマンド(「&」や「< >」など)を検出し、一般の文字列に置き換える(無害
化)こと。バインド機構 : エスケープ処理を自動的に行うデータベースの機能で、静的プレースホルダを用いる。

Q:SQLインジェクションにおけるセキュリティ上の対策は。
A:SQLインジェクションを防ぐために,Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する。
[参 平成26年度 秋期 応用情報技術者試験 午前 問40]

Q:ディレクトリトラバーサル攻撃はどは
A:入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して,攻撃者が,上位のディレクトリを意味する文字列を使って,非公開のファイルにアクセスする。
[参 平成27年度 春期 応用情報技術者試験 午前 問46]

Q:中間者攻撃
A:送信者と受信者の間に介在し、なりすましや情報の横取りをする攻撃手法全般のことを言う。

Q:第三者中継
A:自身とは無関係の第三者のメールサーバを不正に中継し、身元を偽ってメールを送信する攻撃手法のこと。

Q:IPスプーフィング
A:偽のIPアドレスを使って、ファイアウォールを突破し、ネットワークに侵入する攻撃手法のこと。詐称したIPアドレスは、シーケンス番号(データやパケットの送信順序を表す番号)が正当なものとならない。

Q:DNSキャッシュポイズニング
A:DNSサーバの情報を不正に書き換え、インターネット利用者を偽のWebサイトに誘導する攻撃手法のこと。最新のパッチの適用や、DNSサーバ台数を増やすことが対策となる。

Q:セッションハイジャック
A:セッションIDやクッキー盗聴し、利用者になりすまして、不正アクセスする攻撃手法のこと。難解なセッションIDやパスワード、セッションクッキーの使用。また、これらの使用可能時間を短くすることが対策となる。

Q:リプレイ攻撃
A:ログインシーケンスを盗聴して、利用者になりすまして、不正アクセスする攻撃手法のこと。

Q:Dos攻撃
A:攻撃目標のサーバに大量のデータを送り込み、負荷をかけてサービスの低下や停止させる攻撃のこと。

Q:DDos攻撃
A:攻撃者と全く関係のない複数の第三者のコンピュータを踏み台にして、標的のサーバに一斉にデータを送り込み、負荷をかけてサービスの低下や停止させる攻撃のこと。

Q:OSコマンドインジェクション攻撃
A:外部からOSの操作やディレクトリ作成を行うコマンドなどを送り、不正操作(なりすまし、漏洩)する攻撃のこと。シェルを起動させる言語機能の利用を避けることが対策となる。

Q:カミンスキーアタック
A:攻撃対象の名前ラベルをランダム化することで、DNSキャッシュポイズニングを効果的に行う攻撃。

Q:APT(Advanced Persistent Threats)とは。
A:攻撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。
[参 平成26年度 秋期 応用情報技術者試験 午前 問35]

Q:水飲み場型攻撃(Watering Hole Attack)の手口は。
A:標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
[参 平成29年度 春期 応用情報技術者試験 午前 問40]

Q:フィッシング(phishing)による被害は。
A:"本人情報の再確認が必要なので入力してください"という電子メールで示されたURLにアクセスし,個人情報を入力したところ,詐取された。
[参 平成23年度 秋期 応用情報技術者試験 午前 問39]