のんびりやろう!情報処理試験!-1問1問コツコツと-

  • ¥0

    無料

著者サイト

情報処理技術者試験の応用情報技術者,基本情報技術者の午前問題を中心にITパスポートやセキュリティ,ネットワークなどの高度区分まで幅広く対応!問題/用語のリクエストも受付中!役立つIT知識を増やしたい方はぜひ。

 

メールマガジンを登録(無料)

※ご登録いただいたアドレスは大切にお預かりし、まぐまぐ!メールマガジン配信にのみ利用します。

他のサイトIDでメルマガを登録する

※ 各サイトのリンクをクリックすると認証画面に移動します。
※ メルマガはサービスでご登録したメールアドレス宛に届きます。

このメルマガを解除する

メールマガジンを解除

他のサイトIDでメルマガを解除する

※ 各サイトのリンクをクリックすると認証画面に移動します。

 

メールマガジン最新号


▲ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ┏┓
┃┃  のんびりやろう!情報処理試験! ~1問1問コツコツと~  ┃┃
┃┃                               ┃┃
┃┃     2017.6.21 vol.3167 http://www.shunzei.com/   ┃┃
┗┛ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼

--PR------------------------------------------------------------------

C言語&擬似言語対策の決定版!アルゴリズム力を身に付けるための1冊!

      【改訂3版 基本情報技術者試験 C言語の切り札】
◇          http://www.shunzei.com/r/c4          ◇
◇◆                               ◆◇
◇◆◇   ロングセラーが待望の大改訂! C言語選択者必携!   ◇◆◇

----------------------------------------------------------------------

  \\\ ライザップが英語力にコミット!RIZAP ENGLISH ///
     ----------------------------------------------
       2ヵ月でTOEICスコア200点UPを目指す!
     ----------------------------------------------
       >>> ライザップイングリッシュ <<<

      まずは弱点分析!無料カウンセリング受付中!
    https://px.a8.net/svt/ejp?a8mat=2TC942+1WGVCI+CW6+BQQENN

------------------------------------------------------------------PR--

>/******************** 今日の問題はお休みします。********************/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆お知らせ◆ 春試験 高度区分の合格発表について
----------------------------------------------------------------------

 春試験 高度区分の午後の合格発表は本日(6/21)正午の予定です。
 http://www.jitec.ipa.go.jp/

 合格・未合格報告お待ちしております!



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★これ、おしえてっ!(回答編)★vol.3164(2017.6.14)の質問に対する回答
----------------------------------------------------------------------

 今回の質問はこちらでした。(出典:H29.春 登録セキスペ 午前2 問5)
----------------------------------------------------------------------

 セッションIDの固定化(Session Fixation)攻撃の手口はどれか。


 ア HTTPS通信でSecure属性がないCookieにセッションIDを格納する
   Webサイトにおいて、HTTP通信で送信されるセッションIDを
   悪意のある者が盗聴する。

 イ URLパラメタにセッションIDを格納するWebサイトにおいて、
   Refererによってリンク先のWebサイトに送信されるセッションIDが
   含まれたURLを、悪意のある者が盗用する。

 ウ 悪意のある者が正規のWebサイトから取得したセッションIDを、
   利用者のWebブラウザに送り込み、利用者がそのセッションIDで
   ログインして、セッションがログイン状態に変わった後、
   利用者になりすます。

 エ 推測が容易なセッションIDを生成するWebサイトにおいて、
   悪意のある者がセッションIDを推測し、ログインを試みる。

----------------------------------------------------------------------

 微妙な名前の登録セキスペの問題でした。
 https://www.ipa.go.jp/siensi/

 それでは、みなさんの回答を紹介しますね。


 ○飯泉さん

> セッションIDの固定化(Session Fixation)攻撃とは
> https://goo.gl/wivCYP (しゅんぜい注:僕がURLを短くしました)
>
> 上記より、セッションがログイン状態に変わった後、利用者になりすますから
> 解答はウです。
>
> 参考
> https://www.softel.co.jp/blogs/tech/archives/834
>
> 今日は、勉強になりました。
> ありがとうございました。
> ----------------------------------------------------------------------
> ひとこと
>
> >よく見るということは、それだけ勉強できている証拠ですね!
> ありがとうございます。
> 嬉しいです。
>
> 早く、東京へ戻りたいです。
> 秋試験、APを受験する予定ですが、
> 午後に重点をおき、勉強します。
> 午後勉のコツがあれば、教えて下さい。
> 自分は過去問を暗記するぐらい繰り返すことです。

 どうもありがとうございました。正解は「ウ」で良いでしょう。

 セッションハイジャックという言葉を勉強した方は多いかと思いますが、
 合わせて、セッションフィクセーションも覚えておきましょう。

 午後も過去問を解いて、知識を深めるのが良いですよ。
 ネットワーク、セキュリティ、データベースなど、技術的な知識は
 どんどん深堀していくと良いと思います。



 ○トレッキーさん

> トレッキーです。
>
> ●セッションIDとは、
> Webアプリケーションなどで、アクセス中のユーザの識別や
> 行動の捕捉(セッション管理)のために付与される固有の識別情報。
>
> ユーザがアクセスしたりログインした際に発行され、
> 一定時間アクセスが無かったりログアウトすると破棄される。
>
> ●セッションIDの固定化
>
> セッション ID の固定化は、
>
> 1 あらかじめ攻撃者が用意しておいたセッション ID を、
>   ブラウザや Webアプリケーションの脆弱性などを利用して
> 2 セッション ID を利用者に送り込み、
> 3 利用者がログインした状態になった後、
>
> 4 攻撃者が送り込んだセッション ID を利用してなりすます攻撃です。
>
> セッションハイジャックやセッション ID の固定化による
> なりすましは深刻で以下のような影響があります。
>
> ◆ログイン後の利用者のみが利用可能なサービスの悪用、
>  情報の閲覧、改ざん、新規投稿
>
> また、パスワード変更前にパスワードを要求しない
> Webアプリケーションの場合は、
> ◆パスワードが変更されて完全にアカウントが乗っ取られてしまいます。
>
> セッション管理の不備に対する根本的対策は以下のようになります。
>
> 1.推測困難なセッション ID を利用する
> 2.セッション ID を URL に含めない
> 3.HTTPS 通信で利用する Cookie には secure 属性を付与する
> 4-1.ログイン後にセッションを新規に開始する
> 4-2.ログイン後にセッション ID とは別の秘密情報を持ち、
> 各ページでその値をチェックする
>
> 4-1 と 4-2 はどちらか一方を対策すれば問題ありません。
> (サイトでは 詳しい説明あり)
>
> 参照サイト
> e-words さま セッションID
>
> Webセキュリティの小部屋 さま
> セッション管理の不備と対策 セッション ID の固定化
> https://www.websec-room.com/2013/03/09/497
> 図解説明と対策 あり
>
> 以上より 回答は
>
> ウ 悪意のある者が正規のWebサイトから取得したセッションIDを、
>   利用者のWebブラウザに送り込み、利用者がそのセッションIDで
>   ログインして、セッションがログイン状態に変わった後、
>   利用者になりすます。
>
> ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
> 沖縄  行けました? 
>
> 略称も 正式名も センスが感じられないのはなぜなんでしょうね。
> 「登録セキスペ」 情報処理安全確保支援士 ・・
>
> 次は どんな試験区分が新設されるか、少し 期待。^^

 どうもありがとうございました。
 トレッキーさんが教えてくれた方が図入りでわかりやすいかも(^^;;

 登録セキスペは、ほんと何なんですかね(^^;;
 セキスペでいいのに。

 沖縄は行ってきました。
 あとがきで触れますね。



 ○まっしぃさん

> > セッションIDの固定化(Session Fixation)攻撃
>
> あらかじめ取得した(正規の)セッションIDを埋め込んだリンクを
> ユーザーに使用させ、そのユーザーのセッションを乗っ取る攻撃手法。
>
> ○ウ 悪意のある者が正規のWebサイトから取得したセッションIDを、
>    利用者のWebブラウザに送り込み、利用者がそのセッションIDで
>    ログインして、セッションがログイン状態に変わった後、
>    利用者になりすます。
>
> 対策としては、ログイン後に新しいセッションIDを発行し、ログイン
> 前のIDを無効にする「セッションIDの付け替え」が推奨されています。
>
> 参考)
> とくまるひろしのSession Fixation攻撃入門
> http://blog.tokumaru.org/2009/01/introduction-to-session-fixation-attack.html
> 標的ユーザにセッションIDを強要してサイトに誘導する
> この部分がSession Fixation攻撃のキモだね。なんせFixationって
> 言うくらいだから,強要が大事なんだ。
>
> セッション乗っ取り:#4 セッションIDのお膳立て
> https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/305.html
> 「セッションIDのお膳立て」は、Webアプリケーションのセッション
> 乗っ取りの際に攻撃者が用いる手口のひとつである。
> ちなみにWebセキュリティを説明する他のサイトや文献等においては、
> 「セッションフィクセーション(session fixation)」、
> 「セッションIDの強制」、「セッションIDの固定化」等と表現される
> ことがある。

 どうもありがとうございました。
 具体的な攻撃方法が書かれているサイトの紹介、ありがとうございます。

 対策としては、セッションIDをクライアント側に返す場合は、
 リクエストごとに毎回変える(=レスポンスを返すときに変える)のが
 基本かなと思います。



 ○さちさん

> [セッション固定攻撃とは](Session Fixation)
> セッションハイジャック攻撃の一つ。
> 通常、セッションハイジャック攻撃は攻撃者が正規ユーザーに発行された
> セッションIDを入手することで成立するものである。
>
> しかし、セッション固定攻撃は違い、正規ユーザーが利用する
> セッションIDを、攻撃者が指定する。
> こうしてシステムは、そのセッションIDを正規のものとして
> ログインを許可し、以降はそのセッションIDを使う。
> こうして攻撃者の攻撃は成立する。
>
> この攻撃は、次の手順によって成立する。
>  1. 攻撃者はシステムにアクセスし、セッションIDを得る。
>    ログインしなくてもセッションIDは取得できるからである。
>  2. 攻撃者は、そのセッションIDで、正規ユーザーにログインするよう
>    仕向ける。
>  3. 正規ユーザーがログインする。以降はセッションIDで認証される。
>
> 非現実的な攻撃方法ではあるが、理論上、攻撃者はユーザーIDと
> パスワードを知らなくてもセッションIDが得られるため、
> ログイン済みのシステムに対し、ログインが必要な領域に対して
> 攻撃を加えることが可能となる。
>
> 参考URL:通信用語の基礎知識
> https://goo.gl/ZuUuNc (しゅんぜい注:僕がURLを短くしました)
>
> 以上より、正解は
>
>  ウ 悪意のある者が正規のWebサイトから取得したセッションIDを、
>    利用者のWebブラウザに送り込み、利用者がそのセッションIDで
>    ログインして、セッションがログイン状態に変わった後、
>    利用者になりすます。
>
> と考えます。
>
> ----------------------------------------------------------------------
> (ひとこと)
>
> セ・パ交流戦も後半戦。日ハムのTV放映があまりないので、
> もっぱら巨人戦を見ていました。
> ソフトバンクも好きなので、3連戦は楽しめました。

 どうもありがとうございました。

 これまで見てきたように、セッションIDの固定化(Session Fixation)攻撃は、
 いろいろなサイトで取り上げられているので、よく覚えておきましょう。

 週末まで野球がないので、ちょっと物足りないです(^^;;




━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★これ、おしえてっ!(質問編)★ 回答期限:6月26日(月)の夜まで
----------------------------------------------------------------------
 「この問題がわからないっ!!」という、
 読者からの質問をみなさんに回答してもらおう!というコーナーです。


 今回の質問はこちらです。(出典:H29.春 登録セキスペ 午前2 問6)
----------------------------------------------------------------------

 DNS水責め攻撃(ランダムサブドメイン攻撃)の手口と目的に関する
 記述のうち、適切なものはどれか。


 ア ISPが管理するDNSキャッシュサーバに対して、送信元を攻撃対象の
   サーバのIPアドレスに詐称してランダムかつ大量に生成した
   サブドメイン名の問合せを送り、その応答が攻撃対象のサーバに
   送信されるようにする。

 イ オープンリゾルバとなっているDNSキャッシュサーバに対して、
   攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して
   問い合わせ、攻撃対象の権威DNSサーバを過負荷にさせる。

 ウ 攻撃対象のDNSサーバに対して、攻撃者が管理するドメインの
   サブドメイン名をランダムかつ大量に生成してキャッシュさせ、
   正規のDNSリソースレコードを強制的に上書きする。

 エ 攻撃対象のWebサイトに対して、当該ドメインのサブドメイン名を
   ランダムかつ大量に生成してアクセスし、非公開のWebページの参照を
   試みる。


--[回答のめやす(横幅:全角34文字)]--------------------------------
> 1234567890123456789012345678901234
----------------------------------------------------------------------

 登録セキスペ(情報処理安全確保支援士)をもう1問。


 これに対する回答(解説)を6月26日(月)の夜までにお願いします。

 このコーナーで取り上げてほしい問題のリクエストも募集中です。
 回答&お便りはこちらからでもOKです。
 http://www.shunzei.com/about/mail.html



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼選択肢で勉強しよっ!▼(答えはこのメールの一番下にあります)
----------------------------------------------------------------------

> 動的リンキング(dynamic linking) って?



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
> *********************** 投稿募集中のテーマ *********************** <
----------------------------------------------------------------------

 ●「これ、おしえてっ!」で扱ってほしい問題のリクエストやその回答
 ●「選択肢で勉強しよっ!」で扱ってほしい用語のリクエスト
 ●「その他、試験などに関するお便り(テーマフリー)」

 ハンドル名を添えて、このメールマガジンに返信して頂ければ届きます。
 WebからでもOK! http://www.shunzei.com/about/mail.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 のんびりやろう!情報処理試験! ~1問1問コツコツと~(週3日発行)
----------------------------------------------------------------------

 編集・発行:しゅんぜい mail_at_shunzei.com (_at_は @ に)
   発送:melma!   http://www.melma.com/  (ID:189)
      :まぐまぐ  http://www.mag2.com/   (ID:24856)

 登録・解除:http://www.shunzei.com/mm/

 ○バックナンバー
 立ち読み  : http://www.melma.com/backnumber_189/
 ダウンロード: http://www.shunzei.com/mm/backnumber.html

 転載について: http://www.shunzei.com/about/disclaimer.html
 広告掲載は mail_at_shunzei.com (_at_は @ に)までお願いします。

----------------------------------------------------------------------
 ○メールマガジンの購読の登録・解除は個人の責任で行ってください。
  しゅんぜいは一切代行しません!

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼選択肢で勉強しよっ!の答え▼
----------------------------------------------------------------------

 (基本情報平成24年秋問20)
 (基本情報平成16年春問45)の問題文より

> プログラムを構成するモジュールの結合を、プログラムの実行時に行う方式

 (エンベデッド平成22年問10イ)の問題文より

> プログラムの実行中に、必要になったモジュールを共用ライブラリや
> システムライブラリからロードする。

 (基本情報平成15年春問43)
 (1種平成12年問31イ)の選択肢より

> プログラム実行時に、共用ライブラリやシステムコールライブラリの
> モジュールをロードする。

 動的リンキング(dynamic linking) とは、プログラムを実行する際に
 実行に必要な共用ライブラリやシステムコールライブラリのモジュールを
 主記憶にロードし、結合させることです。

 ロードされるモジュールのことを
 動的リンクライブラリ(DLL:Dynamic Link Libraly) といいます。

 あるプログラム中の機能(処理方法、アルゴリズム)において、
 他のプログラムでも全く同じ処理で利用されている部分は、
 その部分だけを切り出して1つのモジュール(Windows なら DLLファイル)
 にしておきます。

 切り出して部品化することで、各ファイルサイズを小さくできたり、
 同じような開発をする手間を省くことができます。

 例えば、Windows標準の圧縮形式として CAB 圧縮と言うものがありますが
 これは各プログラムが "CAB32.DLL" を呼び出すことで
 さまざまなアプリケーションで CAB ファイルの圧縮、解凍機能が
 利用できます。各アプリケーションは DLL ファイルを呼び出すだけで
 良いので、圧縮、解凍機能の開発は不要となります。

 ZIP の解凍なら "UNZIP32.DLL",LZH なら "UNLHA32.DLL" など
 みなさんのパソコンにも入っているのではないでしょうか?



=-=[あとがき]=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

 というわけで、週末は沖縄へ行っていました。

 沖縄って書いておけば、AKBの総選挙?っていうツッコミが
 来るんじゃないかと思ってましたが、行ったのはここ数年行っている
 宮古島のロックフェスでした。

 あいにく天気は悪く、雨に濡れながらのフェスでしたが、
 全国各地からの友達に会えたし、また友達も増えたし、
 楽しい沖縄ツアーとなりました。

 来年こそは青い空と青い海を見に行きたい!



----------------------------------------------------------------------
◆のんびりやろう!情報処理試験!はこちらから http://www.shunzei.com/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

メルマガ全文を読む
 
  • 殿堂入り
 
メルマガ名
のんびりやろう!情報処理試験!-1問1問コツコツと-
発行周期
週3日(月水金)
最終発行日
2017年06月21日
 
発行部数
5,832部
メルマガID
0000024856
形式
PC・携帯向け/テキスト形式
カテゴリ
語学・資格 > パソコン・IT系資格 > その他

まぐまぐ!メールマガジンの用語集です。
下記の用語以外の不明な点はこちらをご覧ください。

 
発行周期
週1回、月1回などの発行頻度です。
部数
メルマガの配信数を記しています。
カテゴリ
まぐまぐ!に登録されているカテゴリです。
形式
メルマガには以下の配信形式があります。下部「メルマガ形式」をご参照下さい。
 
最終発行日
最後にメルマガが配信された日付です。
メルマガID
メルマガを特定するIDです。
RSSフィード
RSSを登録すると、更新情報を受け取ることができます。

― メルマガ形式 ―

  • PC向け
    パソコンでの閲覧に最適化したメルマガ
  • 携帯向け
    スマートフォンやフィーチャーフォンでの
  • PC・携帯向け
    PC・携帯どちらでも快適にご購読いただけます。
  • テキスト形式
    文書だけで構成された、一般的なメールです。
  • HTML形式
    ホームページのように文字や画像が装飾されたメールです。
  • テキスト・HTML形式
    号によって形式が変更する場合があります。

閉じる

 

▲ページトップへ

▲ページトップへ