H29年度秋.午後1.問2.情報処理安全確保支援士の出題用語

H29年度の秋期 情報処理安全確保支援士の午後1問題の問2より、セキュリティ・ネットワーク関連の用語を抜粋した。
(あまりに常識的すぎる用語は除いている)

※個人的な勉強を兼ねて作成した。誤りがあった場合、非常に申し訳ない。

スポンサーリンク

午後1 問2

サーブレット

Webサーバ上で実行されるプログラムのこと。

SQLインジェクション

データベースと連携したWebアプリケーション等で、入力のパラメータにSQL文を組み込んでやり、不正にデータベースにアクセスしたり、改ざんしたりする攻撃のこと。

クロスサイトスクリプティング

他者のWebサイトへ悪意のあるスクリプトを埋め込むこと。Webサイト上(SNS等の記事、コメントの投稿画面、ID・パスワード等)の入力フォームへ悪意のあるスクリプト(JavaScript等)を入力する。これにより、他人のクッキー情報を抜き取り、その人になりすましてWebサイトにアクセスしたり、個人情報を不正に搾取することが出来る。

デプロイ

サーバー等にプログラムを格納し、その他の通信・クライアントの設定を行うことで、システムを利用可能な状態にすること。

オープンリダイレクタ

URLのパラメータ部分を操作することで、ユーザを正規のサイトから別のサイトへと誘導する手法。Webアプリケーションの脆弱性を利用した攻撃手法。

Cookie

Webブラウザ内に蓄積される情報。ユーザがブラウザ経由で見たWebサイトの情報、ログイン情報のこと。

ホワイトリスト

安全であると識別したもの(IPアドレス、Webサイト等)のリストのこと。

WAF

Web Application Firewall の略。
OSI参照モデルでいうアプリケーション層でのセキュリティ対策である。Webアプリケーションを用いた脆弱性の攻撃やの対策となる。

CSRF対策トークン

CSRFとはクロスサイトリクエストフォージェリのこと。CSRFの対策として用いるワンタイムトークンのこと。具体的な方法は以下である。
①Webページのhiddenフィールドに秘密情報のトークンを設定しておく。
②ユーザがWebページ上に情報を入力し、送信する際にトークンも一緒に送信される。
③このトークンを確認することで、正規の通信であると識別する。

同一生成元ポリシ

Webブラウザに導入されているセキュリティ機能の1つ。
コンテンツのくる源泉が同一でない場合、セキュリティ上の干渉・制限を行う。
同一であるとは、以下の3つが一致していることである。
①ホスト
②スキーム
③ポート
同一生成元ポリシにより、罠サイトにアクセスして個人情報を抜き取られる等の被害を防ぐことが出来る。

バインド機能

SQLインジェクションの対策の一つ。
事前に用意したSQL文の雛形にパラメータ値をエスケープ処理した上で当てはめる。
これにより、パラメータ値に悪意のあるSQL文を挿入されても、攻撃を防ぐことが出来る。

Expires

Cookieの属性の一つ。
Cookieの有効期限(日時)を指定する。指定しなければ、ブラウザを閉じたときにCookieは破棄される。

HttpOnly

Cookieの属性の一つ。
Cookieヘッダ以外(JavaScript等)からのアクセスを禁止する。
これを設定することで、XSS攻撃を防ぐことが出来る。

Max-age

Cookieの属性の一つ。
Cookieの残存期間(秒)を指定する。

Seure

Cookieの属性の一つ。
これを設定すると、通信がHTTPSの場合のみにCookieが送信される。

Secured

(本用語は、おそらく解答者にSecureかSecuredか綴りを悩まさせるために用意されたと推測する。Secured属性は調べたが無かった。)

ブログ村
ブログランキング・にほんブログ村へ←私に期待という名のプレッシャーをかけて下さい
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

関連コンテンツ

 

関連コンテンツ