情報処理安全確保支援士の春期試験の結果が厳し目なので秋試験に向けてぼちぼち準備開始しました。(参考までに春試験を受けた感想はこちら)
本番試験で自信を持って解けなかった問題はリベンジモチベが上がるので、まずは挑戦した問題から振り返ります。今回は午後1の問2編です。
どんな問題?
- ネットワーク接続ストレージ(NAS)にあるファイルが暗号化された問題。
- 任意のコマンドが実行できてしまうOSコマンドオプション脆弱性を利用してディレクトリ書き込み権限を変更し、攻撃ツールを配置実行されたもの。
問われた知識
DNS関連
ダイナミックDNSサービスの危険性
普通はPCが再起動するとグローバルIPアドレスが変わるので、外からつなぐのに難儀するが、PCのIPアドレスが変わってもホスト名とIPアドレスをつなげるようにしてくれるサービス。
WAN側を有効にしてしまうと認証無しでアクセスできるのでとっても危険。
DNSレコードを問うもの
定番基礎問題として今年も登場しました
- Aレコード・・・ ホスト名とIPアドレスを関連付けしてくれるレコード
- TTL(Time To Live)・・・ キャッシュの保持時間
脆弱性攻撃名称を問うもの
例年よくでますが以下が今年は出ました。一通りド忘れしないよう準備が必要ですね。
- ディレクトリトラバーサル
- OSコマンドインジェクション
OSコマンドのsudoの知識
一般ユーザでもroot権限コマンドが実行できるsudo問題が出ました。
sudoにより一般で実行できるコマンドの中に、オプションによって任意のOSコマンドが実行できちゃう脆弱性をついたもの。
対策は、sudoのコマンド設定ファイルで、危険なオプションを禁止させることが問われました。
検索エンジンに見つけさせなくする方法
webページで見つかると脆弱性標的になりやすいため、Webページのヘッダ設定に「noindex」と記載することが良い。
HTTPリクエストのPOSTメソッドはアクセスログに残らない話
HTTP通信においてサーバへデータを送る際にPOSTメソッドが使われる。
データ部はアクセスログに残らないので重要情報はPOSTで送るよう推奨されている。逆に他のメソッドだとアクセスログでバレバレになる。