攻撃手法・脅威
情報セキュリティマネジメント試験「ファジング」の問題
プログラムに想定外のデータを大量に与え、異常終了などから脆弱性を発見する手法はどれか。
ア想定外のデータを大量に投入し異常終了などの挙動から未知の脆弱性を探し出す。
イ発行済みのセッションIDを奪い取って、正規利用者になりすまし通信を乗っ取ってしまう。
ウ通信経路に割り込んで盗聴を行いつつ、送受信の双方になりすまして内容を改ざんする。
エ辞書の単語を順に試しパスワードを推測する。
正解
ア.想定外のデータを大量に投入し異常終了などの挙動から未知の脆弱性を探し出す。
ファジングは、プログラムへ意図的に不正・異常・予想外のデータ(ファズ)を大量に入力し、クラッシュや異常終了などの挙動を観測してソフトウェアの未知の脆弱性を見つけ出す検査手法である。
?選択肢ごとの解説
ア ○ファジングは、プログラムへ意図的に不正・異常・予想外のデータ(ファズ)を大量に入力し、クラッシュや異常終了などの挙動を観測してソフトウェアの未知の脆弱性を見つけ出す検査手法である。
イ ×セッションハイジャックの説明で、ID奪取が手口で脆弱性探索ではない。
ウ ×中間者攻撃の説明で、通信中継が本質でデータ投入検査とは異なる。
エ ×辞書攻撃の説明で、パスワード推測が目的で脆弱性発見ではない。
攻撃手法・脅威の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-w1-0013
