トップ «前の日記(2003-10-20) 最新 次の日記(2003-10-22)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-10-21

_ [audit][tool] Paros v3.0.2

Web Application Security Assessment ツール。Proxy 型。変更点は以下の通り。

  • Improved SQL injection check
  • Added default file check for JRUN
  • Added default files check for IIS 4, IIS 5 and IIS 6
  • Added default files check for ColdFusion
  • Added "ReplaceResponseHeader" filter to automatically change pattern in response header
  • Added "ReplaceResponseBody" filter to automatically change pattern in response body
  • Fixed a problem for default file check with "Scan All" function

_ [etc] 情報セキュリティアドミニストレータ

あったようで。不勉強な私が受けると、確実に落ちて廃業することになるので受けませんでした。まぁとりあえず問題だけでも、ということで試験問題を見せてもらいました。

問 28 クロスサイトスクリプティングの手口はどれか。
ア Web アプリケーションに用意された入力フィールドに, 入力データとして悪意のある JavaScript コードを埋め込む。
イ 大量のデータを Web アプリケーションに送ることによって, 用意されたバッファ領域をあふれさせる。
ウ 入力フォームの隠しフィールドのデータを改ざんし, 改ざんされたデータを Web アプリケーションに渡す。
エ パス名を推定することによって, 本来は認証された後にしかアクセスできないページに直接ジャンプする。

XSS って、自分がスクリプトなりを埋め込んで自分で実行してるんじゃ意味なくて、他人に罠を踏ませるところが手口だと思うんですが。つまりこの問題は、XSS があるとこを探すための手口ってことなんですかね?そうすると、ウも正解になっちゃいます。hidden なパラメーターに JavaScript 突っ込んで動かすなんてのは非常によくありますし。

問 29 Web サーバとブラウザの通信で使用されるクッキーに関する記述のうち, 適切なものはどれか。
ア クッキーによって個人情報が収集されるのを防ぎたい場合は, TFTP(Trivial File Transfer Protocol) の通信を禁止する。
イ クライアントのハードディスクに保存されたクッキーは削除できないので、不要なクッキーについてはブラウザで受信をブロックするように設定する。
ウ セション管理用に作成されたクッキーは, 接続再開時にセションを維持するものなので, クライアントのハードディスクに記録する。
エ ユーザ ID などのユーザ識別情報を管理するクッキーは, クライアントの再起動後も利用するものなので, クライアントのハードディスクに記録する。

「ユーザ ID などのユーザ識別情報を管理するクッキー」をディスクに記録するのって適切なんですか?ディスクに保存しないほうが、第三者に盗まれる可能性が低いので適切でしょう。エはオートログインの話をしてるんだと思いますが、よく使われていれば正解なんでしょうかね。そうならば、イでいう保存されたクッキーを削除できない人がよくいますので(注: 統計を取ったわけではありません)、ブラウザの設定で対策するのは適切でしょう。
ウの「接続再開時」の定義もあいまいで、ブラウザを開いたまま次のページにアクセスするのが「接続再開」なのか、マシンを再起動して同じページにアクセスするのが「接続再開」なのかよくわかりません。再来者を追跡してみたり、オートログインもセションが維持されている状態のひとつでしょうし、再起動後もセションを維持したい場合が多々あるので、その場合はディスクに保存しておかないとだめでしょう。

出題者の想定している解答はそれぞれ、ア と エ なんだと思いますが、問題文が曖昧すぎて真面目に考えると回答がでてきません。
Σ(゜д゜)ハッ。ひょっとして、出題者の想定していることまで読むっていうソーシャルなスキルも要求されているんですか。情報セキュリティアドミニストレータ恐るべし。

_ [etc] 障害報告

10/19 頃からツッコミが入れられない問題があったようです。原因は、mod_security のバージョンアップのようで、古いバージョンに戻したら直りました。根本的な原因がどこにあるのかは、追々調査するつもりです。
その mod_security のおかげでツッコミのデータは残っていましたので、とりあえず手動で回復させました。ただし、ツッコミの時間まで復元するのはちょっと面倒なので後回しにしています。
ご迷惑おかけしました。

障害報告して頂いた、しかPさん、みゃーさん、ありがとうございました。嫌いではありませんのでお好きなだけツッコんでください。

本日のツッコミ(全9件) [ツッコミを入れる]
_ Simurgh (2003-10-21 17:39)

あぁ、受けたさ( ´ー`)y-~~<br>意味がわかんなかったさヽ(`Д´)ノ<br><br>午後Iの問題はもっと意味不明なのがあったYo!!

_ しかP (2003-10-21 17:40)

ぼくが受けたときも意図をくみ取る問題だらけでだいぶ難儀しました(げら)<br>#そんなもんだろう、と試験開始数分で悟りました。

_ しかP (2003-10-21 17:41)

あれ・・・突っ込みができない罠?もう一度・・・<br>ぼくが受けたときも意図をくみ取る問題続出で難儀しました。<br>#そんなもんだろう、と試験開始数分で悟りました(げら

_ みゃー (2003-10-21 17:42)

考えるのではない、感じるのですっ!!(゜Д゜)

_ 金床 (2003-10-21 17:46)

うわー、ウンコですね上の2つの問題。<br><br>Parosの作者がDiablo2で遊ぶ相手探してました(笑。<br>Javaが出来る開発者を募集中だそうです。

_ bun (2003-10-21 18:01)

ツッコミがないのは、既に人気の賞味期限が切れているからなのかと思ってました。

_ しかP (2003-10-21 18:24)

わーい、書ける書けるヽ(´ー`)ノ

_ Fumi-pooh (2003-10-21 21:29)

なんかコメント欄のスペースがでかくなってる(w。ちなみに、情報処理試験の合格テクニックは、出題者の意図を汲み取って、出題者の誘導とおりに解答を書くことです。午後気鰐簑衒乎罎謀えのヒントが隠されています。決して、自分の経験を踏まえて解答してはいけません。変に知識があって、自分よがりの解答をすると落ちる罠(げら

_ Simurgh (2003-10-21 22:05)

俗世に汚されていない<br>専門学校生の方がうかりやすいとヽ(´∀`)ノ

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析