塩沢

塩沢

R4春SC 午後Ⅱ問1(CSRF)を解いた

R4春 SC 午後Ⅱ問1(CSRF)を解いた。53分くらい https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf 設問1(2)これ解答例がおかしいと思う 「ダウンロードするライブラリに既知の脆弱性がないか確認する。」は本文中に「既知の脆弱性が修正された(中略)サイトから~」とあるので確認はとれていると解釈できる。「特定のwebサイトからの入手をルール化し、

塩沢

    • H29 春 SC 午後Ⅰ(CSRF)を解いた

      H29 春 SC 午後Ⅰ(CSRF)を解いた。18分くらい https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000fzx1-att/2017h29h_sc_pm1_qs.pdf 設問1 「L氏の利用したアカウントID」と「L氏のアカウントIDのサイトアクセス日時、が一致していれば…ってこの回答意味不明だ!もっと吟味する必要がある。 正解は「L氏が今日ログインしたと言っている回数」と「L氏の利用者IDを用いた今日のログ

      塩沢

      • 1週間のふり返り(7/15~7/20)

        証明書X.509 https://note.com/salt_ninja/n/nfbeb29f05249 ディジタル署名、PKIと話が広がっていく。関連書籍を何冊か読んだ 図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書 https://gihyo.jp/book/2021/978-4-297-12307-9 世界でもっとも強力な9のアルゴリズム https://bookplus.nikkei.com/atcl/catalog/12/P84930/ 認

        塩沢

        • 忍たま乱太郎で学ぶCSRF

          ・アウトプット 魔界之小路先生の元に稗田八方斎人形が20個届きました。 「あれ〜、冷めた麻婆豆腐の人形を20個買ったつもりだったが」 ところがそのあとすぐ、冷めた青椒肉絲の人形が20個届きました。魔界之小路先生はドクタケonlineショップにログインしたまま悪質なサイトへアクセスしてしまったので、クロスサイトリクエストフォージェリ攻撃に遭い、セッション権限を奪われて稗田八方斎人形を20個注文されてしまったのです。 「ドクたまのよい子達にでもプレゼントするか」 しかし魔界之小路

          塩沢

        R4春SC 午後Ⅱ問1(CSRF)を解いた

        塩沢

          全然わからないXSS

          ・アウトプット ドクタケ忍者はネット上から個人情報を収集しようと、罠サイトを用意しました。そこにアクセスしたユーザーは、ブラウザを通じてスクリプトを実行させられ、セッションIDの窃取によるなりすまし被害、Cookieに個人情報が含まれていた場合はその漏洩などの被害に遭います。まずは罠サイトへ誘導するため、とってもクリックしたくなるリンクを掲示板に投稿しました。 「我らが八宝斎様のとっても恥ずかしい秘密!!知りたければ↓↓クリック↓↓」 これでみんながクリックするに違いありませ

          塩沢

          全然わからないXSS

          塩沢

          忍たま乱太郎で学ぶX.509証明書

          ・アウトプット 公開鍵を認証局(CA)に提出して、ディジタル署名してもらったものを証明書といいます。久々知兵助はその証明書をX.509で規格化しました(5年い組の9くち兵助だから)。 証明書はサーバが使えばサーバ証明書ですし、クライアントが使えばクライアント証明書です。 種類は3種類。 DV証明書…豆腐が大豆(D)でできていること、ドメインを所有していることを証明する。 OV証明書…豆腐がおいしい(O)こと、ドメインを管理している組織が実在することを証明する。 EV証明書…

          塩沢

          忍たま乱太郎で学ぶX.509証明書

          塩沢

          H29年秋の午後Ⅰ問3を解いた

          支援士の試験申込した。 itecの模試も申し込んだ。 午後問題対策のテキスト(https://www.itec.co.jp/store/products/detail.php?product_id=3855)に載っている問題が何についての問題なのかを一覧化した。これ2023年のだけど2024年版も買ったほうがいいのかな?そんな変わらないよな? 第2章のひとつめがSSL/TLSを用いたサーバ設定と運用だったので解いた。H29年秋の午後Ⅰ問3。25分かかった。 https://w

          塩沢

          H29年秋の午後Ⅰ問3を解いた

          塩沢

          一週間の振り返り(7/8〜7/14)

          一週間(7月8日〜7月14日)のふり返りをする。 ◇目的 ・学習したことの定着を目指す ・改善点をみつけ、より良い学習にする ◇振り返り SSL/TLS https://note.com/salt_ninja/n/ne23d0b03636b よく理解していなかったところだからイメージがついて良かった。古沢仁史進(サーバ)には証明書が必須だけど喜三太(クライアント)は証明書がオプション、とかSSL/TLS アクセラレータ(リリーばあちゃんが作ってあげるイメージだった)とか記載

          塩沢

          一週間の振り返り(7/8〜7/14)

          塩沢

          忍たま乱太郎で学ぶSSH

          ・アウトプット 図書委員で二年い組の能勢久作先輩はSSHとして遠隔ホストのリモートログインを試すことにしました。ポート番号は二年生だから22です。認証の方法はIDパスワード方式のほか、ハイブリッド暗号方式、OTP方式があります。ポートフォワーディング機能といって、特定のポートへの通信をほかへ転送することができます。これにより、簡易なVPNを構築します。 ・クエスチョン ・フィンガプリントってなに? →SSHサーバの公開鍵のハッシュ値。中間者攻撃を防ぐことができる ・ポート

          塩沢

          忍たま乱太郎で学ぶSSH

          塩沢

          忍たま乱太郎で学ぶRADIUS

          ・アウトプット 落ちこぼれの一年は組とは一緒にしてほしくない、優秀な一年い組の壬暁左吉は忍たまLAN太郎における認証のお手本(規格)となるべくIEEE802.1Xとしてサプリカント(左吉のサはサプリカントのサ)になりました。EAP(イープ)のイはい組のい!と勢い込んで認証サーバに向かいましたが、認証装置であるオーセンティケータは一年ろ組の下坂部平太(オーセンティケータのケータとヘータ)でした。なんでこんな陰気なやつに、、としぶしぶEAPOLパケットを差し出すと、平太は怯えなが

          塩沢

          忍たま乱太郎で学ぶRADIUS

          塩沢

          忍たま乱太郎で学ぶIPsec

          ・アウトプット 二年い組の教科担当教師、松千代万先生はとっても恥ずかしがり屋です。なので、IPsecで通信して、データも見られないようにしようと思いました。 まずは池(IKE SA)に向かいます。用具委員会がアヒルを浮かべているあの池です。着くと、不運な保健委員会委員長の善法寺伊作(ISAKMP SA)が池にはまっていました。松千代先生は恥ずかしいので助けません。まずは池で、共通鍵の作成、どの暗号を利用するかのパラメータ交換、認証を済ませます。メインモードとアグレッシブモード

          塩沢

          忍たま乱太郎で学ぶIPsec

          塩沢

          VPNよくわからない

          IPsecについて学んだけどVPNのイメージがよく掴めなくて忍たまに重ねられない。 IPsecはVPNを利用するためのもの。 VPNってなんのために使うの? VPNとTLSはどうちがうの? ネットワーク層で暗号化するIPsec-VPNとセッション層で暗号化するSSL-TLSVPNは どう使いわけるの? SSL/TLSってセッション層で動作するの?

          塩沢

          VPNよくわからない

          塩沢

          忍たま乱太郎で学ぶSSL/TLS

          ・アウトプット ナメクジが大好きな忍術学園1年は組の山村喜三太は、もともと風魔忍者でした。忍術学園のほうがナメクジさん達が元気になるので風魔ではなく忍者学園に通っています。 喜三太は風魔の里にいる古沢仁之進と秘密の話をしたく、SSL/TLSを使って通信することにしました。SSL/TLSを使うとHTTPがHTTPSになり、セキュアな通信が可能になります。セキュアってセキュリティ的に安心という意味で使ってるけどあってるのかな。TLSのTはTCPのT。SSL/TLSはトランスポート

          塩沢

          忍たま乱太郎で学ぶSSL/TLS

          塩沢

          ネスペ絶対合格するぞ日記

          先週、4月に受験したネットワークスペシャリスト試験の結果が発表された。落ちていた。 大声で言いたい。なんでだよ! あんなに勉強したのに〜と思いつつ、合格するまで勉強し続ければいいのだ。それしかない。 それで、たくさん不合格の言い訳をして、その言い訳を一つずつつぶしていくことにした。 ・アウトプットが足りなかった ・午前Ⅱ(午前Ⅰは免除)でわからない問題があって、落ち込みすぎた。試験の合間の休み時間を全てだらだらSNSを見ることに費やしてしまった ・模擬試験を受ければよかった

          塩沢

          ネスペ絶対合格するぞ日記

          塩沢