平成30年度春期 情報処理安全確保支援士 午後Ⅱ 解答復元
午後Ⅱ
問2は表中インジェクションとか、URLのパラメーターとか記載があり、午後Ⅰ同様にプログラム問題。人によっては楽でしょうが、私に取っては精神的に壁が高い。
問1を選択。
問1
設問1
(1)攻撃がコメントアウトされレスポンスに出力されないため
(2)フラグメント識別子を利用してRポータルへアクセスした際のレスポンスを分析する。
(3)セッション管理以外にCOOKIEを利用したユーザ管理情報の交換を実装している場合
設問2
サーバのアクセスログのログイン、ログアウトのタイプスタンプと踏み台サーバに記録された管理IDおよびデスクトップ画面の記録データを突合する
設問3
(1)
a:WebAPサーバ
b:DBサーバ
c:ODBC
不要となる項番:9
(2)システム運用課以外の職員が踏み台サーバを経由して共通管理者アカウントによりDBサーバへアクセスする行為
(3)d:2
設問4
(1)e:製作パートナーのPCの端末情報
(2)f:Rポータル利用者IDの発行およびCCI送付を協力者へ行う
(3)g:製作パートナー以外のIPアドレスから、DRMサーバへの利用者承認をフィルタリングで拒否する
まとめ
勉強量が圧倒的に少ない午後Ⅱ。よってベース配分が読めなかったものの、問題は区切られた範囲で設問と小問いくつかという形式。
時間は2時間と長いが午後Ⅰと一緒という所感。
午前Ⅰからぶっ通しとか、前日睡眠時間が短いとかであれば、集中力が途切れてたかもしれません。
幸い、午前Ⅰ免除かつ睡眠時間は確保したので、この長丁場もこなせました。
とはいえ、内容的には確信して書いた答えが無く、ふわっとした感じで今回も試験終了です。
午後Ⅱの合格は50:50といったところかと
失敗しても平成30年度秋期NWスペシャリストに向け知識不足を補えたのでよしとしましょう。(多分に強がり、内心悔しいですが、、、)
では!