【FE科目B対策】基本情報技術者H27春セキュリティの解説
※以下は、>>【FE科目B対策】基本情報技術者R01秋セキュリティの解説<< と同じ文章です。リピータの読者さんは目次まで飛ばして大丈夫です
基本情報技術者試験の科目Bは、大きく変わって、セキュリティとアルゴリズムだけになりました。
問題は小問形式になり正直易しくなりましたが、問題は、科目Bの過去問は非公開なこと。
まずは無料公開されている昔の午後問題(現:科目B)で無料で対策を始める方が多いでしょう。
私が勤めているIT専門学校でも、資格対策授業に大きな変化はありません。まずは、午後問題を解いて力を付けます。
どうせ応用情報技術者では午後問題に直面しますから、無駄になりませんからね。
このNoteでは、授業での解説をベースに書きました。書籍の解説とは違って、一緒に読んで解いていきますし、解くためのコツや学ぶべき追加知識も書いています。
「短い解説では良く分からなかった」「正解だけでなく、どう解いていくかが知りたい」方には、特に学習効果が期待できます。
ぜひ少しでも参考にして頂ければ、嬉しいです。
過去問は自分で持っておいてくださいね。
>>公式の問題pdfへのリンク<<
>>公式の解答pdfへのリンク<<
解説 | 攻撃がたくさん出てくる問題だった
今回は攻撃手法全般が出る、総決算的な問題でした。
これらを復習しておけば大丈夫です。
読み:5ページ | 異彩を放つネットワーク構成
第一段落にヒントはありません。
「受注管理システムのセキュリティ診断結果への対応の話だな」ていどでOKです。
【受注管理システム】を読みます。
Webサーバで受注管理アプリが動く
受注・出荷の情報はデータベースサーバ上の受注情報DBに格納
「いつもの」構成ですね。
また、Webサーバには取引先とのファイルのやり取りにも使われる点は特徴的。
図1を見ます。
なかなか異彩を放っていますね。
FWが2つある
WebサーバがDMZではなく、社内LANにある
RPS(リバースプロキシ)がある
さっぱり見ない構成です。問題になる可能性が高いですね。
RPSの説明を読みます。
ディジタル証明書を設定しておく
利用者IDとPWDで認証する
HTTPS通信を利用する
HTTPSとHTTP変換をする
RPS(リバースプロキシサーバ)は、外部からのアクセスを全て受けて、適切なサーバへ仲介します。今回は、HTTPS暗号通信をHTTPに変換して仲介します。
【Z社の脆弱性診断の結果】を読みます。
「穴埋めa」と遭遇します。「想定してない操作で、DBに不正アクセスする」旨から、「SQLインジェクション攻撃のことだな」と分かります。>>Webアプリへの攻撃Note<<
解き:設問2a | 攻撃系の総集編!
無事「イ:SQLインジェクション攻撃」がありました。
選択肢は全て知っておくべき用語です。
ア:サーバに大量の「もしもし」を送り付ける
イ:DBサーバを不正に利用する入力をする
ウ:Webページに投稿し、悪意のあるスクリプトを埋め込む
エ:よく使われる言葉でパスワードクラックを試す
オ:絶対パスを直接していして、本来アクセスできないファイルにアクセスする
カ:ゴミ箱を漁り情報収集する。ソーシャルエンジニアリングの一種。
キ:あらゆる文字列を使ってパスワードクラックを試す
ク:サーバの開いているポートを探す
>>Webアプリへの攻撃Note<<
>>パスワードクラックのNote<<
>>DoS攻撃のNote<<
>>ソーシャルエンジニアリングのNote<<
読み:6ページの表 | 少し予想がつく穴埋め
下線①の左。「任意のファイルをダウンロード」より、「ディレクトリトラバーサル攻撃かな」と。
穴埋めb。「スクリプトが埋め込まれる」「Webサイトに誘導」から「クロスサイトスクリプティング(XSS)攻撃かな」と。>>Webアプリへの攻撃Note<<
下線②。「ロックアウトかな」と。
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ