【SC】情報処理安全確保支援士試験 Part149
■ このスレッドは過去ログ倉庫に格納されています
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
http://www.jitec.ipa.go.jp/1_11seido/sc.html
情報処理技術者試験センター
https://www.jitec.ipa.go.jp/
情報処理技術者試験 総合統一スレ 3
https://kizuna.5ch.net/test/read.cgi/lic/1484740145/
情報処理技術者試験 高度試験共通午前T Part3
https://kizuna.5ch.net/test/read.cgi/lic/1484740431/
関連スレ
【RISS】情報処理安全確保支援士 Part26
https://kizuna.5ch.net/test/read.cgi/lic/1614640584/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part148
https://kizuna.5ch.net/test/read.cgi/lic/1644934814/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured >>88
どの高度受けても毎回いるよ
メンサとかのやつだろ >>98
Qアプリの生体認証ってスマホに依存しない? 午後1の問2は去年のQNAPのNASのランサムウェアの件を思い出させるわ >>100
過去問道場やりこみます、秋受かりそうです(午前だけなら まさるのAPPGOAT回を3本見た俺は多分合格だ
まさるのお陰でXSSとCSRFとディレクトリトラバが完璧に解けた 会社からの指示でイヤイヤ受けさせられてるやつとか受けた証として問題冊子だけ回収して帰るやつ結構いるよ >>99
応用情報
前回前々回の分は今回出ない法則があるみたいで、それより前の5回分を脊髄反射で答えられるようにしてた
すっかり忘れたけど。午前1免除が秋までだから、秋も落ちてたらまてやり直し 午後の勉強の仕方がわからんな。過去問やってもあんまり意味ないな。 >>107
指示というより、休日出勤扱いになるから、その証拠で問題用紙持参ってことね >>108
5回分を脊髄反射、やってみます。
ありがとう
>>112
まさるさんはyoutubeです。過去問せずにこれをチラ見していました。 >>99
ごめん、若干期間間違ってた。
ここ見て。ただし暗記モノなので今やっても忘れると思う
https://www.jouhoushori.com/entry/2週間でできる午前T対策 午後1 問2の デコード、比較、正規化 のやつの正しい順番教えて >>115
ウアイ にしたけど他の人と全然ちゃうな >>102
これ一定時間操作がなかったら画面をロックするって書いたな
前問のパクリみてぇだから自信ねぇけども 重点対策問題ってあんま使えないなって思ったわ
他にないかな 実は転職して無理して取る必要無くなったので受かっても受からなくてもIPAの資格は引退する予定だったので折角なので供養するわ
とりあえず午後1まで
記述問題はこんな感じで書いたってだけで原文ママではない、※は完全にテキトー
インフラエンジニア上がりの情シス兼総務なので専門家からしたら笑っちゃうような回答ばっかだと思うけど
下には下がいるって安心してくれたら嬉しい
午前2 19/25でパス
午後1
問2
設問1
(1)aア bエ
(2)第三者が社内のNASやPCにアクセスできてしまう
(3)/root配下が暗号化されていたから
設問2
(1)HTTPインジェクション ※
(2)OSコマンドインジェクション
(3) eア fウ gイ
設問3
(1)pingはUDPなので実行サーバを検知できないから ※
(2)tarコマンドのディレクトリをchrootに変更しsudoで実行できないようにする ※
設問4
forbidden ※
問3
設問1
aイ bア
設問2
(1)
・銀行などでキャッシュカード番号と暗証番号を盗み見る
・Webページを偽装して利用者にカード情報や暗証番号を入力させる
(2) 顔写真
(3) dウ eイ
(4) 署名用電子証明書の正当性
(5) 一定時間内にその数字を入力するとカメラアプリが起動し、その場で撮影して送信
設問3
(1)スマートフォンを紛失した時
(2)指紋や顔認証などの生体認証を決済時に要求する >>115
デコード→埋め込んだ処理がパスとして表示される
正規化→問題文の通りのパス形式にする
比較→拒否リスト以外なら弾く
この順番以外にありえるか? >>116
おれもこれだなぁ
まず正規化してからデコードしないと相対パスで書かれてるとぐちゃぐちゃになりそうだし >>114
ありがとう
夏ごろからはじめようと思いましたが
脊髄反射レベル回答できるように今からやります。。 ここのところ暫くFWのポリシーとかマルウェアのインシデント発生とかネットワーク屋や社内運用系の問題ばかりだったから、あと3回くらいは開発系の問題くるかもね。エモテットPPAPとかくらいなら次あたり来るかもしれんが。 設問3
>(2)tarコマンドのディレクトリをchrootに変更しsudoで実行できないようにする ※
ファームウェアUPでは使用しないtarオプションを無効にする
にしてしまった。--restrictで無効化できるので。。 まぁ、午後1は二つで60以上あればいいから…ははは >>115
デコードしてから正規化、比較だと思う。
正規化の前にデコードしないと、../とかがエンコードされてるかもしれないしいし、それらを正規化してからじゃないと比較しても意味がないはず。 >>123
ネスぺで良いやつはあっちに任せればよいと思う 午後1冷静に考えたら、問3でもっと取れたなぁ
何書いたかわからんぐらいぐちゃぐちゃな回答しちまった
完全に問2のtarとかなんもわからなくて心乱されちまった 午後1設問2(3)
ア、ウ、イ
にしたけど、POSTをデコードしてから正規化して比較では??? >>128
そもそも問題文のサンプルにエンコード値入れてる時点で気付くよねw >>107
そういうことなのか
でも午前2だけでOKなのか?
会社も個人も一番意味無さそうだけど >>119のつづき
俺もう5回くらい落ちてる不合格のプロだけどぶっちゃけ今回の午後2が過去一難しかった
午後2
問2
設問1
(1)キャッシュ
(2)DoS
(3)DNS ※
(4)CDNを利用しているY社のWebサイト全部 ※
(5)宛先のFQDN ※
設問2
(1)認証サーバはSTを発行しているだけで検証している訳ではないから
(2)STの復号化に対しての攻撃であってログイン試行している訳ではないから
設問3
(1)ウ
(2)ア
(3)改ざん
(4) h:1 i:3 j:4
設問4
(1) kウ lイ mア
(2) エ
(3) o9 p10
(4) ウ※
設問5
(1) rウ sエ tオ
(2) 4
(3) ア※
(4) wトークン要求 xトークン応答 情報番号 = ? and プロジェクトid = ?
が正しいってみてマジ?って思って問題文再確認したけどたしかにそうだわこれ
ちゃんと周りの文もみるべきだった😣
やけに簡単だなと思ったら… >>126
いや俺のは参考にもならんぞw
とはいえこのスレですら答えが固まってないようなレベルなのでかなりの難問か悪問だった事には間違いない 午後1設問2(3)
ア、ウ、イ
にしたけどPOSTの内容ってデコードできるのかな???
中が見れるの???GETだけでは??? 行政書士の試験とかでは合格率低くなりそうなら、配点に調整入るけど、この試験も期待できる? なんかもう午後の試験受けて、今後受かる気がしないんだけど。
どういう勉強すりゃあいいのよ。 >>138
真偽は不明だけど情報処理試験の午後の配点は調整されてるのが濃厚 普通に採点されてて59点とかで落ちまくってたまるか なんかここ見てると午後だめくさいし、次どうしようかなぁ……
受けるの辞めるか、気分転換で他の高度受けるか 村山本はアテにならないことがよーく分かった
今回は「こう出たらこう答える」どころか知識を問うものばかりだし
TACの重点対策本も結局過去問の解だしね
なんだかんだ、上原本から知識を深めるのが一番か >>139
高度の午後は基本的に実務やってなきゃ厳しいよ
しかも実務やってたとしてもその分野が出るかどうかは運
応用取った時もその時担当してた客と怖いくらい同じような構成の問題出てきたお陰で取れたくらいだし ネスペ多分落ちたから次こっち受けるけどおすすめの本ない?
教科書は分厚すぎて読む気せんわ…
あと過去問解説はどれ見てる?
ネスペシリーズ的なのないの? >>138
>>140
濃厚どころかほぼ確定だね
59点報告がここまで続出してるのを見ると裏で合格率が何パー以上になっちゃいけないみたいなのがあるんだと思う
適当な理由付けて落としとけばまた受験料でガッポガッポだしな
受験料大幅に上げてきやがったし結構露骨だよ 普段からAWS触ってるとCDNはCloudFrontをイメージはできたんだけど、
認証系はイメージできなかった。言葉は分かっててもシーケンス辺りは応用の知識ないとしんどい TACの解答速報なんか普通に間違いだらけだし何にも信用出来ないわ キャッシュサーバーのとこでエッジって書いちゃった
だめかなー? 結局、午前の知識完璧にしたところで
午後でソリが合わないと落ちるんだよなぁ そもそもこの試験の合格者の受験率ってどのくらいなのだろう?
維持費払う代わりに3年に1度受験をして合格すれば維持しているのと同じでは?
合格者の受験率が多いと合格が難しくなる。 やべ、デコードの流れのやつ全部間違えた。これ3つ完全正当式かな?それとも1つあたり小さな点数が与えられるやつかな? 諦めずに4回くらい受けたら運で受かるかな。もちろん毎回全力で準備して。正直運の要素結構ありそう。 午前1 19/30
午前2 14/25
午前1とれたのでヨシ! 今回受験者めっちゃ減ったんじゃなかったっけ
それで合格率20%切って、それで政府だっけか「情報セキュリティの資格者を増やす」って、なぁ…
毎年受験者減ってるのに ノー勉の俺でもぎりぎり通った午前試験に落ちるやつはなんなんだ!? >>157
俺午後2で59とかで2回落ちてるしそりゃもう嫌になるよ
リターンもさしてあるわけじゃないし 午前1 17/35
午前2 14/25
午前1難し過ぎんか…? こんな難しくする意味あるんかな。どんどんハードル上がっていく。 >>157
いきなり受験料1.5倍じゃ増える訳無いわね…
口ではそう言ってるけどもう増やす気無いと思うぞ
コロナ禍の今更新毎に30万で特定業務も無い支援士に何の価値があるのかさっぱり分からんし
支援士持ってる事を条件に年収1000万残業月20以下みたいな仕事があれば人生懸けて頑張るけどw 時間余ったから、見直し訂正してたら
答案用紙回収時間になって、試験管に注意されたわ
減点処分ありそうだな、これ 試験は年ごと難しくなっていって
高額な登録料の上専業でもないくせに罰則はしっかりつく安全確保支援士って何なんだろうか。 >>144
相性の良い問題出てくるまで待つしかないか 登録者数が初の前年割れ、「情報処理安全確保支援士」の人気獲得に秘策はあるか
https://xtech.nikkei.com/atcl/nxt/column/18/00138/030100992/
結局、資格として魅力があまりないみたいだね。
登録してても辞退する人が多くなったってことでしょ? 受験料が上がったから↑受験者数が下がる↓だから難易度を上げなくてはいけない↑
なんかもう負のループになりそうな気がするな 参考までに、午後II問1書いてみる。
選択肢は設問3(1)以外は自信なし。
設問1
(1)イ
(2)利用するライブラリの脆弱性を日々収集し、必要に応じて対応する。
設問2
a:JSESSIONID
b:利用者ID
※順不同
設問3
(1)c:イ
d:ア
e:ア
f:ア
g:イ
h:イ
(2)i:エ
j:イ
設問4
クエリ文字列のtopicの値をサイトYのDBサーバの
WebインターフェースのURLに変更した
設問5
(1)k:V氏が用意したサイト
(2)リクエストのHostヘッダの値を特定のサイトに制限
設問6
(1)脆弱性1:セッション管理の脆弱性
脆弱性2:認可・アクセス制御の脆弱性
(2)改良フェーズの休止期間中に実施する
(3)改良リリース周期を長くし、周期内に
専門技術者による脆弱性診断をできるようにする
(4)CSRF対策用のパラメタをデフォルトでセッションIDや
利用者IDなどのユーザ固有のIDとひも付ける機能 わからん
午後II 問2
設問1(1) キャッシュ (2) DoS (3) GET (4) CDN-Uを利用するすべてのWebサイト (5) Y-CDN-U-FQDN
設問2(1) 認証サーバへSTが送られないため (2) STを復号して検証すればパスワードが有効なのか確認できるため
設問3(1) エ (2) ア (3) かいざん (4) h 2, i 3, j 4
設問4(1) k ウ, l イ, m ア (2) エ (3) o 2, p 6 (4) エ
設問5(1) r オ, s エ, t ウ (2) 8 (3) ア (4) w トークン応答, x メッセージ投稿 SCは受験料より維持費が高過ぎる。更新する気が起きないもん。 >>168
ホストヘッダでよかったのかなー
ホスト名確認する改修でカバーされてるなって思ったのと、わざわざAuthヘッダ云々書かれてたからリダイレクト時にヘッダを引き継がないようにするって書いたわ
authヘッダが渡らないようにすればいいのかなって思って ネスペ多分落ちたから次こっち受けるけどおすすめの本ない?
教科書は分厚すぎて読む気せんわ…
あと過去問解説はどれ見てる?
ネスペシリーズ的なのないの? 現RISSに今回の試験解答してほしいなとも思ったり >>163
ないないw
試験官つったって日雇いのバイトだぞあいつらw
明らかな不正行為で退場はあるけど減点とかそんな細かい事できる人達じゃない >>174
ないよ
午後が変わってどうにもこうにも >>170
あーやらかした。。
一回書き直したんだよね。
計12点失点てとこかな。 >>168
1-2
結局これ誰がやるのって話だと思ってて、
それぞれに管理させてたら絶対また漏れが出てくると思うから、担当者を付けて定期的にチェック&更新するにしたわ >>172
迷った
でもDDoSって結局DoS攻撃の一種ってイメージだから広い方を書いちゃった 午後1 問3
設問1 a:イ b:ア
設問2
(1)・利用者が入力する情報を盗み見る方法
・安易な暗証番号で、口座番号を総当たりで変える方法(?)
(2)c:容貌の画像
(3)d:ウ e:イ
(4)f:署名電子証明書の有効性
(5)g:ランダムな数字をおでこに書いて、利用者自身を撮影
設問3
(1)スマートフォンを紛失した場合
(2)ログイン状態でも、Qアプリの機能利用の際にパスワードを要求する機能(?)
こんな感じだな?
>>172
仲間だな
DDoSでも正解を祈ろうじゃないか >>179
自己レスだけど、やっぱこれであってない?
制限なしを押させるのが目的だよね? >>181
DoSって書いたけどはたしてあってるのか >>176
そうなのか
若いのに、えらい貫禄があったぞ
逆らったらヤヴァイオーラが滲み出ていた >>172
DoSにした
DDoSでも分散してるかどうかの違いだしなぁ >>183
おでこに書くでちょっとクスッと来てしまった
言いたい事は分かるぞ >>179
わかんない。俺が全部逆なのかも。
なんかどっちでも通じそうなんだよね。 >>184
信じられないが本当だ。役に立つ本はない。午後はもはや何をすればいいか意味不明。 >>187
キャッシュサーバが多数存在してる状況なら仮にDoS食らっても他のキャッシュサーバで代行できる(距離の問題だけで)
逆にキャッシュサーバが無くて単一のサーバならそこにDoS食らったら一発アウト
って理論で多分DoS攻撃の対策って部分は合ってると思う 試験終了10分前から退出禁止てなんの意味があるんだろうといつも思う 午後に役立つ本ってないの?
左門書みたいにわかりやすく説明されてるやつ…
午前と午後は教科書で補って
午後は自己学習? ■ このスレッドは過去ログ倉庫に格納されています