1read 100read
【ワカヤマン】情報セキュリティスペシャリスト 69 (710) TOP カテ一覧 スレ一覧 2ch元 削除依頼
25年度 行政書士試験 6 (1001)
【平成25年】社労士試験救済希望スレ 52問目 (803)
土地家屋調査士受験生スレ【92】 (109)
パンパカパ〜ン♪ また落ちました Part1 (123)
【宅建】40点以上の神々の集い【祝祭】 (352)
宅建お通屋会場〜圧倒的難化〜 (123)

【ワカヤマン】情報セキュリティスペシャリスト 69


1 :2013/10/20 〜 最終レス :2013/10/22
情報セキュリティスペシャリスト試験(SC)
[ Information Security Specialist Examination ]
http://www.jitec.ipa.go.jp/1_11seido/sc.html
情報処理技術者試験センター
http://www.jitec.jp/
前スレ
情報セキュリティスペシャリストPart67(実質68)
http://ikura.2ch.net/test/read.cgi/lic/1382158567/

2 :
なんだよワカヤマンて
くそみたいなタイトルつけてんじゃねーよゴミカス

3 :
おおおおおつ

4 :
>>1
乙でーす

5 :
>>1
アレ?68は?

6 :
>>5
前スレが番号変えてなかったから実質68

7 :
T 11/30
U 12/25
今、一人の受験者の死亡が確認されました\(^o^)/
うん。こうなったら気分切り替えてLPIC勉強する。

8 :
>>1

9 :
午前1 23/30 
午前2 21/25
前すれを見る限り極普通...

10 :
まあ大丈夫だろうと思った午後2 23/25
これは問題解きながら鼻歌出そうだったからな

11 :
>>7
今回の午後2は過去問やってたら鼻歌物だったぞ
午前1の点数見るにろくに勉強してなさそうだが

12 :
午前2は確認作業を含めて20分で終わったからな。
今回は簡単すぎ。
午後1で爆死しそうなわけだが。

13 :
前スレの>>901>>984
午後U問2
設問1
(2)FW3 Any VPNサーバ2 L2TP over IPSec
FW4 Webメールサーバ メールサーバ SMTP
FW4 メールサーバ Webメールサーバ POP3
ここさ、メールサーバからWebメールサーバにプッシュしてくることはないから、FW4は
FW4 Webメールサーバ メールサーバ SMTP
FW4 Webメールサーバ メールサーバ POP3
なんじゃないかな。

14 :
和歌山でも便所混んでましたか?

15 :
高度試験としては2回目、この試験は初受験だったが、エンベよりは簡単なのかな?
まあ合格していると思うかというと午前2以外は全く自信無いんだがw
今年の春にエンベ受けて落ちたから、今回合格していようといなかろうと次はもう一回エンベ受けるわ。

16 :
午前I→免除
午前IIは19/25 →76点
午後I
設問1
(1)@、A、A、C
(2)4
(3)18
(4)URL文字列に対し表1項番3のチェックを行い、スクリプト要素の含有チェックも行う。
設問2
(1)c.17 d.24
(2)A
(3)GETパラメタ及びPOSTパラメタ
(4)escapeHTML
(5)26
(6)C
(7)out.print("¥""+document.form1.loc.value+"¥"");
問3
設問1
・第三者が他の利用者になりすまして申請メールを送る。
・仮パスワードの通知を本人に手渡しで行う。
設問2
・一度認証に成功し、クッキーが取得出来ると90日使用できるため。
・ワンタイムパスワードの入力を毎回行うようにし、クッキーの有効期間ももっとみじかくする。
設問3
a.Cサービスの領域のデータを、ローカルのストレージにバックアップ
b.Cサービスのデータを復元し業務を再開
c.データ移行方法
午後2は前スレ>>500
春は午後2だけで落ちたけど今回は通ってて欲しいなー

17 :
午前U88点でした

18 :
ところでハニーポットが選択肢にあったのは吹いた。

19 :
なんだよ?タイトル

20 :
>>13
俺もFW4の設定は同じ回答になったわ
ネットワークの知識が乏しいから自信ないけど

21 :
セキュスペの勉強してるとき、
ICMP/pingとリングアグリケーションはプリキュアに絡めて覚えてたから、
両方とも出題されたのを見たときはちょっと嬉しかったw

22 :
晒します。よろしくお願いします。
午後1問3
設問1方法:携帯のメールアドレスを第三者のアドレスとして申請
   対策:会社貸与の携帯に限定する
設問2理由:不正ログイン後、24時間使える
   対策:パスワードをワンタイムパスワードトークンにて運用する。
      また、自動ログアウトをもっと短くする。
設問3 a)Cサービスのバックアップを定期的に実行
    b)バックアップから仮復旧させプロジェクト資料業務を再開
    c)データ以降の可否

23 :
>>16
> (1)@、A、A、C
@は対象外だ
> (4)URL文字列に対し表1項番3のチェックを行い、スクリプト要素の含有チェックも行う。
この書き方は目から鱗でた
> (7)out.print("¥""+document.form1.loc.value+"¥"");
ここはたぶん「out.print("document.form1.loc.value");」

24 :
午前2 18/25
しかし午後1大爆死の模様

25 :
>>22
設問2が違うな。
cookieに残っていれば、無条件にログインできる。

26 :
午前2
21/25だた
問題は午後だ・・・

27 :
>>22
設問3-a
Cサービスは他社が運用してるサービスだから、サービスごとバックアップするのは難しいと思う。

28 :
午前二 21/25
いつもながら過去問やってんのかと錯覚しそうになった

29 :
午前2公式
http://www.jitec.jp/1_04hanni_sukiru/mondai_kaitou_2013h25.html

30 :
HMAC死んでしまえよ。

31 :
もうだめだわ

32 :
>>13
そっちが正解だと思います。
本文中にWebメールサーバはメールサーバに対してクライアントとして動作するとあるので
メールサーバ側からのプロトコル許可指定は不要でした。

33 :
午後1の問3は問題数少ないから採点者次第になりそうだな

34 :
午後2問1
設問1(1)1.不審と判断したファイルの削除
      2.OS上で稼働するアプリケーションの自動起動設定の変更
     理由:マルウェアがどのような活動を行ったのか確認することが出来ないため。
設問2(1)PC調査中でも別のPCに復元して業務を続けることが出来るため。
   (2)8
   (3)a:80 レスポンス:ウ
   (4)HTTPレスポンス
設問3(1)9月25日14:10
   (2)d:ア f:ウ
   (3)xx:xx:xx:aa:bb:22
   (4)192.168.1.1〜192.168.1.254
設問4(1)最新のJREでシステムBが正常に動作するか確認する作業
   (2)システムB以外のJavaに関するリクエストを全て拒否するように
      HTTPリクエストのフィルタリングを有効にする
   (3)ブラックリストにC&Cサーバのアドレスを登録
   (4)LさんのPC インバウンド通信

35 :
>>13
俺もそう思う。

36 :
>>32
やったぜ。

37 :
>>23
ぐわ、ほんとだA〜Eだった‥
記述解答は問題文で使えるもんは何でも使うという方針w
プログラムの書き換えはスクリプトの中だということを忘れてた‥

38 :
鍵付きハッシュ関数の「鍵付き」を見落として、
ハッシュ関数だ!→SHA-256に違いない!としてしまった…orz

39 :
クッキーがあれば90日は入れるんだよな
だから「クッキーの有効期限を短く」「利用者IDに新しいクッキーが作成されたら以前のものを消去」あたりを俺は書いた
あれ盗難が発覚した次点でパスワード変えさせれば解決だと思うんだけど、パス変更は無しなんだよね?

40 :
>>34
>    (4)192.168.1.1〜192.168.1.254
やはり254も含むのかorz

41 :
自分も最初クッキーと思ったけで、携帯紛失時に同じメールアドレスで再発行って文章が気になって、答え変えた。

42 :
【午後I 問1】
設問1
(1)A、A、A、C (12 / 3点x4=12点)
(2)4          (3 / 3点)
(3)18         (2 / 2点)
(4)";"に対するエスケープ処理を追加し、スクリプトを無効化する   ( 0 / 6点)
  [ => http あるいは https 以外で始まる文字列の受付を拒否する ]
                                             計: 17/23
設問2
(1)c.17 d.24     ( 4 / 2点x2=4点)
(2)A          (3 / 3点)
(3)入力内容確認画面とエラー画面  (6 / 6点)
(4)                 (0 /3点)
 [ => escapeHTML ]
(5)-               (0 / 2点)
 [ => 26 ]
(6)-              (0 / 3点)
 [ => 4 ]
(7)-              (0 / 6点)
 [ => out.print("document.form1.loc.value"); ]
                                             計: 13/27
                                           合計:30/50

43 :
>>39
前スレでCサービスはクラウドだからその辺の設定変えられないって誰か言ってた希ガスけどどうなん?

44 :
>>34
> 2.OS上で稼働するアプリケーションの自動起動設定の変更
これをやっていけない理由をkwsk

45 :
>>44
マルPが自動起動されるようになってた痕跡も消してしまったら困るべや

46 :
>>42
>(3)入力内容確認画面とエラー画面  (6 / 6点)
初めてお仲間がいた!

47 :
>>44
ウイルスがそこを書き換えたのか、利用者が書き換えたのかが判別できなくなるだろう?

48 :
httpとhttps以外は拒否でよかったのか・・・
hrefには相対パスも来るもんだと思ってたから、そう書かなかったんだよなぁ・・・

49 :
>>48
相対パスのことすっかり忘れてたわ
つーか、URLをパラメータで受け取る自体あり得ないと思った

50 :
>>43
へークラウドってそういう変更出来ないんか。勉強になるわ。
あと今気付いたんだけど、携帯まで盗まれてた場合犯人にパスワード変えられちゃう可能性があるからパス変更機能はまずいね。

51 :
>>39
「クッキー90日がやばいから有効期間短縮」というけれど、
じゃあ有効期間を30日、いやもっと短く15日に短縮したら、問題は根本的に解決できたといえるのだろうか?
という意味で個人的にはクッキー云々はどうも納得いかないなあ
「ID強制停止」とか「不正をすぐに発見するためにログを可視化」とかはそれなりに筋が通ってるような気がするけど
でもやっぱり問題文的にはクッキーっぽい感じなんだよなあ

52 :
>>1
R

53 :
>>13は感覚的に手拍子で書いてしまったな
取りあえず値を交差させれば良いだろうみたいにw
よく考えると難しいな、表の項目は下記となっているから
送信元      宛て先    プロトコル
POP3の送信元、宛先って・・・
実データの流れは
送信元:サーバ → 宛先:Webメールサーバ
だけど、POP3の要求パケットは逆だよね
詳しい人よろしく

54 :
>>47
図3と図10「OS起動時にマルウェアPを自動実行するように設定されていた。」ですか?

55 :
44>
理由は特になくて、なんとなくそれっぽかったので書きました。
みなさんの回答見てると、ヘルプデスクへ連絡が遅れたってのが正解っぽい
ですねorz

56 :
お前ら午後Uの心配するくらいなら、午後Tの心配しろや。
午後T落ちたら午後Uはそのまま破棄されるんだぞ!

57 :
>>56
お、そうだな^^

58 :
>>51
IPAの試験だしねえ。
クッキー関連じゃなければ文章に書かれていない部分が大きすぎると思う。
そこスルーかよってツッコミは当然入るわな。

59 :
安堂さん始まったから、静かにな

60 :
>>51
自分は「盗難届が届いたら総務部が速やかに対応」ってところから、盗難アドレスにフラグ立てるなりして、Cサービスアクセス前の(1)処理に盗難されたものかどうかの確認追加みたいに書いたわ

61 :
>>51
ID強制停止だと、「利用者IDはその社員のメールアドレスを使用」に引っかかると思う(該当社員がサービス利用できなくなる)
まあそもそもそんな特定されやすい構造にするなよって話だけど

62 :
>>56
午後一はマジ焦った。
が、とりあえず通過していたよ。20/30
で。

63 :
午後2 問1 設2の(4)
POSTの応答でもいい?
回答用紙の、この解答欄のすぐ上に
レスポンスって文字が書いてあったので
レスポンスってワードを使用するのを
避けてしまった、、、

64 :
間違えた。午後一の話ね。
俺は午前一のことだったw
自信無かったんだよ。

65 :
ああああああああやってしまった終わった
out.print("\"document.form1.loc.value\"");

66 :
本田翼かわいいわー

67 :
>>21
お前JOHOだろ

68 :
午後1、問1、設問1、(4)
これは「セミコロンの除去」も妥当だと思う
通常URLでは使用しない記号なのにescapeHTMLのサニタイジング対象に入ってないし
検出パターン4にピンポイントで対応できるし
少なくとも相対パス無視よりはよっぽど現実的
というか実際の業務でもふつうにセミコロンは習慣的に置き換えてる
DB方面でいうと最優先事項だしね

69 :
午後T問3の最初
直前に即効サプリ見たから
仮パスワードを伝えるメールを盗聴される
にしちゃった
余計なページを見てなければ…

70 :
>>50
Dropbox的なモノだと出来なさそうだしGoogle App Engine的なモノだと出来るんだよなあ。
詳しくなくてスマン。

71 :
22/25
午後1がどうなるか…

72 :
>>69
俺もそれにしたんだが、×なんかね?

73 :
4問から3問に減った影響度を語ってくれ

74 :
午後T落ちたか・・・
問2
設問1
(1) 端末識別番号は変更が不可能だから
(2) エ
(3) ハッシュ値から暗号アルゴリズムを解析可能だから
設問2
利用者のスマホを利用から予約案内を送信する
設問3
(1) YoyakuCode: 201310000071
DateTime: 10 16 18:04:10
(2) AuthKeyとYoyakuCodeを突き合わせる

問3
設問1
方法:P社の社員名を偽り、申請メールを送付する
対策:申請した社員に申請有無について確認の連絡を取る
設問2
理由:クッキーが90日間有効であるから
対策:対象のIDを無効化し、同じ利用者IDに対して他のクッキーが生成された場合、以前のクッキーは無効にする
設問3
a : P社のファイルサーバにバックアップを取っておく
b : プロジェクト資料を使う業務を再開
c : データ移行手順

75 :
>>65
SCのソース簡単ってほざいてたIT土方だけど
そこのソースはじっくり見ないと書けんかったわw

76 :
どっか午後の解答でた?

77 :
午前って8割だっけ?
もうだめぽ

78 :
午前はOKっぽい。
だが問題は午後だ・・・。
受かってたらラッキーぐらいに思っておくか。

79 :
6割だよ

80 :
>>77
6割じゃまいか?

81 :
午前1 18問以上
午後2 15問以上
で通過だとと思いますよ。

82 :
>>73
1問飛ばすともう後がないという焦燥感

83 :
設問1 (4)ってescapeHTMLの前にURLエンコーディング処理を噛ますのはダメか

84 :
>>73
選択基準が「どれを選ぼうか」から「どれを捨てようか」に変わるだけ。
捨てるのを一つピックアップするだけだから簡単。

85 :
>>58
文意には同意するけど
実際にはクッキー云々もべつにそこまで強調されてはいないのよね
図中にちょこっと書かれているだけという意味ではアクセス履歴云々とそう大差ない

86 :
>>74
6割以上はあると思うんだけど?

87 :
こりゃ落ちたな、、試験のことは忘れて彼女とパコるか…

88 :
午後解答12/13正午
合格発表12/20正午

89 :
新しい利用者ID発行と1つの利用者IDに対して古いの無効にして1つのクッキーみたいなこと書いたで

90 :
>>85
「不正利用が長期間続く恐れがある」っと言ってて
その理由と対策はと言われたら
クッキーの90日間以外に求められてる解答はないと思

91 :
新しいクッキー発行の度に利用者認証するって書いた
午後1どうやら落ちた模様・・・

92 :
今回の午後1はムズかったわ。
過去問演習の時は調子よくても絵に描いた餅か・・・

93 :
午前I自己採点
19/30
これって足切りされちゃう?

94 :
午前2は16問正解……ギリッギリだったわw
う、受かればいいんだよ!受かれば!

95 :
>>90
同一利用者IDに対してクッキー無限に発行できちゃう
って書いた俺はあってるのかな?

96 :
たぶんダメ

97 :
>>93
お前は試験要項を読まないタイプのバカか?それとも30問の6割が何問か計算できないタイプのバカか?

98 :
午後、轟沈かな・・・
もうだめだ、春を最後にしよう
ダメなら足あらう

99 :
>>90
【問題】不正利用が長時間続くおそれがあることについて。 (※不正利用されること自体については聞いてない)

(回答案1)
原因:「クッキーの90日間リミット → 不正利用の長期化」
対策:「クッキーのリミットを30日に縮小する」
疑問:「30日ならええんか? 仮にもっと短くしたとして、15日ならええんか? それって何か解決してる?」

(回答案2)
原因:「同一IDで複数のクッキーが作成されたとき、どちらも生き残りつづける → 不正利用の長期化」
結果:「古いクッキーを無効化する」
疑問:「古いクッキーの無効化、は実際のところ可能なの?」

(回答案3)
原因:「ログインログやアクセスログをまともにチェックしてないから不正利用自体に気づけない → 不正利用の長期化」
対策:「利用者にも管理者にも各種ログを自由に確認できるようにする」
疑問:「いざ不正利用を発見したらどうするの? 結局ID停止するの?」

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
【宅建】40点以上の神々の集い【祝祭】 (352)
【司法書士】伊藤塾・小山晃司講師 (274)
平成26年度司法書士試験 Part 2 (274)
【司法書士】伊藤塾・小山晃司講師 (274)
【通称】建築物環境衛生管理技術者56棟目【ビル管】 (661)
【マン管】マンション管理士143団地目 (624)
--log9.info------------------
【PS3/Vita】 MLB 13 THE SHOW 37打席目 (112)
【PS3】プロ野球スピリッツ2013 Part24 (258)
【PS3】 FIFA14 【EA】 2chクラブ part3 (656)
FIFA14チラ裏スレ (181)
サカつく初心者質問スレ (857)
【PS3】ウイイレ2013 オン晒しスレ5【写メ必須】 (135)
【PS3】FIFA14ニコ生パブリッククラブスレ【EA】 (111)
【PS3】実況パワフルプロ野球2013 Part19 (1001)
サカつく2013、エディット専用スレ (204)
【GT6】GRAN TURISMO 6【Part.23】 (1001)
【PS3】F1 2012 オンラインスレ【F1】 (104)
【愚痴スレ】PS3/Vita サカつく (130)
キーボードを見ずに「グランツーリスモ5」 (219)
【EWET】ウイニングイレブンタクティクス72 (176)
FIFA 12 ULTIMETE TEAM 出品・トレード専用スレ 2 (774)
【Wii】FAMILY SKI ファミリースキー 【10】 (134)
--log55.com------------------
★FOXEY/RENEブロガーを見守るスレPart25
【Dead by Daylight】晒しスレ【DbD】 part11
【DQX】痛い恋愛脳を晒すスレ34【ドラクエ10】
【痛い】インスタグラム晒しスレ 26pic 【面白い】
★刀犬乱舞なりきり愚痴スレpart14
【WoWS】World of Warships 晒しスレ 7隻目
★ミナコイチャット 痛いおっさん パート3
ベジモン農場ヲチスレ Lv13