【SC】情報処理安全確保支援士試験 Part160
レス数が950を超えています。1000を超えると書き込みができなくなります。
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
https://www.ipa.go.jp/shiken/kubun/sc.html
情報処理技術者試験センター
https://www.ipa.go.jp/shiken/
情報処理技術者試験・情報処理安全確保支援士試験 マイページ
https://itee.ipa.go.jp/ipa/user/public/
情報処理技術者試験 総合統一スレ 3
https://kizuna.5ch.net/test/read.cgi/lic/1484740145/
情報処理技術者試験 高度試験共通午前T Part4
https://kizuna.5ch.net/test/read.cgi/lic/1675777374/
関連スレ
【RISS】情報処理安全確保支援士 Part27
https://kizuna.5ch.net/test/read.cgi/lic/1658154820/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part159
https://kizuna.5ch.net/test/read.cgi/lic/1697900510/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured なんで小数点なんて問題文に書いてあるのか疑問も持たずに1000って書いたアホな俺w >>844
>小数点以下切り捨てで500です。
問題に四捨五入しろって書いてない? セキュアプログラミング多すぎw
非エンジニア(コード読めないインフラエンジニアも含む)は受けてくんなってコト!?
次回からAI分野追加になるから完璧に詰んじゃった!☺ 問3は言葉だけ聞いたことあるけど実際検証するとあんな感じにやるんだな
意味不明だったけど勉強になったわ >>789
restfulを見たあと、ステートレスかステートフルのどっちかわからなくなるた。
ワイは、クライアントでセッションを管理する性質と書いたわ >>771
ワイかな?笑
午前2は10分足らずで解き終わったけど、午後は10分足らずで諦めかけたわw 非エンジニア向けはITパスポートか情報セキュリティマネジメントなんじゃないの 権威DNSとコンテンツDNSの説明、どっか注釈に書いてなかったっけ >>789
わかる
わいもまだまだ基礎がなってないんやなと思うわ 午前2だけは解答でるの早くなかったっけ
受かっててくれないかな DNS-FとDNS-Kって過去問に出た。
理解するのに苦労した過去問だった。 午後試験を1時間ぐらいで出て行ったやつなんなの?w >>793
ワイはあらかじめ正規の画面を周知して自分が今出力されてる画面を比較するようにすることと、催促用リンクは決まった時間に送るようにルール変更するようにすることと、ちょっとでも怪しいと思ったら上司に連絡することみたいに書いたわ 皆さんお疲れさまでした。久々にIPAの試験を受けましたが、難しいですね今回のSCは。去年秋を含め過去問対策がまったく通用しませんでした。 みんな1.5時間くらい経つと出ていくのに今日は9割くらい最後まで居た印象。
ネット屋ががんばって喰らい付いた感じなのかな
春はプログラム
秋はネットワークとかに切り分けるのかね。 >>793
クライアントソフトウェアが起動していることを確認するみたいにかいたわ。
同じ回答だれかいないかな >>817
どういう順番か忘れたけど日本語的に出てきた順に書いたで 皆さんお疲れさまです。
午後は問2,3を選択。
簡単に自分の答案さらします
問2
設問1(1) 公開Webサーバを対象に,インターネット側からbot等でHTTP Getリクエストを大量に送付する。
(2)取引先との正常な通信が多い場合でも異常として検知
(3)b:DNS-K c:DNS-F (リゾルバをインターネットにさらさない) 午後問2の後、問1で10分位で挫折。
帰りたくなったけど問4を解いてみた。
もう疲れた。滅茶滅茶。 支援士は国語の問題なんていう時代は終わったのかもなぁ 過去問に似たようなのあったけど
内部→インターネットはDNS-Fを通して、インターネット→内部はDNS-Kを通すんか
インターネット→内部でDNS-F通して手当たり次第名前解決アタックされるとDNS-Fが終わる >>840
次頑張るやで
ワイも多分落ちたから共に頑張るやで >>874
(2)ブラウザでアクセスしているURLが自社のものであること&サーバ証明書が正しいことを従業員に確認させる。また,サーバ証明書が不正ですと表示させたら認証操作はせずに情報システム部に連絡させる。
これはマジでわからなかった。不審なURL以上に罠サイトを見抜けないだろ。(「織田裕二が表示されててもダメ」って流行ったよね) ワイの問4
設問1
(1) ア
(2) personal
(3) 4
設問2
(1) 7
(2) 例外NoSuchAlgorithmException
(3) 運用担当者 エ/開発者 オ
情報(どちらも同じ) 住所 氏名 電話番号 メールアドレス
(4) SHA256
(5) すべての処理を中止し、プログラムを異常終了させる
(6) finally
(7) イ >>842
ワイはアホやから「平均ってなんやったっけ」ってなって、1秒で10回やから一番早くても0.1秒遅くとも1000秒だから、数Bでやったような1000+0.1を2で割れば出てくるやんけ!と思ってやったけど、そんなことしなくても単純に2で割ればよかったんやな…? 普段温厚なドットコム民も今回ばかりはブチ切れてて草 >>825
headerはanyに含まれないのに5分前に気づいた!どっちかはヘッダー見ないとかも!? >>844
わいもこれにちかい
結局小数点カットで500でよさそうやな 午前2は簡単だったから午後ちょいムズ位なら行けるかなーとか思っていたらダメダメだったね…
国語の問題対策じゃもうダメかー、はー プログラマモドキなので初めに問4の後ろから解き始めてこれは大丈夫だろ、前半はもはや国語。
次はざっと見比べて問2を選択して記述式が多かったが、もう知らんw
てか注意喚起ってなんやねんwとりあえず業務に必要かどうかメールの内容よく読めやそしたらクリックしてもなんとかなるだろって書いといたw どんなに注意喚起してもアホは不用意な操作するんだから何をやっても無駄 >>883
これはわからんなあ
どこまで偽装されてるかわからんし
あ!HTTPSじゃなかったら踏まない、か?!
確か問題文に通信方式あったよな!!?
あああああ!!!! >>883
リンクが正しいかどうかも描こうと思ったけど、直前にそれは難しいみたいなこと書いてなかったっけ? 午前2の解答
エアエアア
エウエエア ←問9の選択肢エに「ハードウェア」という文言が加わってましたが正解
イエエエエ ←問11の選択肢の配置が操作されてました
アウアエイ
エアエウウ ←最後はシステム監査試験でもまだ出てないレベルの問題でした
https://www.fsa.go.jp/news/r4/sonota/20230407/3.pdf ワイの問2
設問1
(1) 公開Webサーバ、取引先向けWebサーバを攻撃対象に、大量のHTTPリクエストを送信させ、サーバ資源を枯渇させる。
(2) 通常のアクセスを攻撃と誤検知する。
(3)
a) DNS-K
b) DNS-F 全従業員やから末端のなにもしらないひとにもわかることって意味やなぁ、となるとやっぱり手順書になるんかねぇ 設問2なぜかNGで書けないからパス
設問3
(1) 接続を許可するパケットを攻撃者が横取りする
(2) 仮に盗聴されても、使い捨てのコードのため、再検証に失敗する。
設問4
(1) クラウド型WAFサービス
(2) 取引専用PC以外、取引先向けWebサーバにアクセスできないから。 >>899
とおもったけどメールを開いたらってことやからブラウザにてって接頭語つくんかなぁ 設問4のは問題文にフィルタで取引先向けアクセスを禁止するってかいてあったからそこかなと >>898
同じく取引先、公開サーバーの両方とも記載してしまった。。公開サーバーだけなのかなあ インフラエンジニア辛すぎないかこれ
業務知識活かせず 問4でアクセスできる列名って全部だよね、ソースコードには(省略)って書いてあるけど、、いやこれ全部書くのかよ、時間泥棒かよって思いながら両方とも全部書いたw >>905
その意図感じたわ。全部列挙させんのやばいよなぁw インフラエンジニアは今回ネスぺ受けてるでしょって思ってこの問題構成なのかもしれない… これまでよくあった「本文を読み落とさなければ答えられる」って設問が少なかった気がする
みんなの感触はどう? >>905
これ2つ同じ答えだと変かなと思って、運用者はログ、開発者はコンソールとログで見えるよ!って書き足しといたわ、、無駄ボーンだったようだな!ははは >>909
変だと思ったけど吐き出す命令文が々やからおなじやな 注意喚起はクリックして開いたブラウザのアドレスのドメインなどを確認すると書いたけど。 問2の盗聴のところは構成図を見てL2SWがあったので、(どうやって目の前まで行けるのか知らんが)ミラーポート作ってそこから取ればいいんじゃね?って書いたw >>884
設問2の(3)はパスワード無しが正解でしたか。
重要情報に該当するデータ項目に該当し、修正前のUserDataクラスのソースコードでは、
・パスワードが平文でユーザーマスターテーブルに保存されてしまう。
と書いてあったので、ハッシュ化されていないものが見えてしまうのは、禁止事項に該当すると深読みしてしまいました。 >>912
下線の前にURLで判断させるのは難しいみたいなこと書いてあったかと わいの注意喚起は、当該事例をアニメ化して従業員にストーリーを体験させるって書いてしまったorz >>917
アニメはともかく事例を動画にまとめて社員教育を日頃からしていくっていうのは結構やってそうではある >>903
IDPW認証とか書いてあるからリクエストだけなら誰でも出せる
だから対象と判断した 午後2なんて詳しく書かずに平たく曖昧に書いとけばいいんだよ(泣) >>898
取引先webサーバを考慮するの忘れてたわ
ダメダメだなぁ >>914
仮に平文で登録されたとしても、認証で入力されたPWのハッシュ値と照合するときに絶対に引っかかる
こんな設計誰がした 参考書一冊読んだのにSameSiteの事なんかどこにも書いてなかったぜ… 問4 予想配点
設問1
(1) 4点
(2) 4点
(3) 4点
設問2
(1) 4点
(2) 4点
(3) 運用担当者 記述4点 記号2点
開発担当者 記述4点 記号2点
(4) 4点
(5) 6点
(6) 4点
(7) 4点 >>917
そうIPAの動画のようにー!
これさすがに正解やろ.., simesiteはCSRF対策調べてたときに出てきてたからわかってた
参考書だけだと駄目だよねこの試験 >>929
範囲が広すぎる
でも今回の出題はこの業界の常識の範囲内だと思った 501なんか?w
小数点とかならねーだろと思ってたけど
500.5なら、そうか 攻撃の手順を具体的に答えよ
みたいなのぼっかり出しやがって! 問1の設問2(1)は
10000件って1000秒だから絶対10分で終わらんやろ、ああ平均か
なら半分の500秒で
で出したわ 午後問1は計算問題があったので(しかも小数点だと!?)中身を見ずに回避、問3はxssとcsrfがありこれにしようかなと思ったらssrfとかいう見慣れぬワードがあったため回避
結果、得意な問4と消去法で3を選択。 参考書なんていまだにクリックジャッキング対策はx-flame-optionとか書いてるでしょ
過去問やってCSPとか初めて出てきた発狂したわ でも、1秒で10回なら
0.1秒で1回だから
やっぱ、500.05?とかだから
500でいいのか?w >>924
ワイは逆に取引先だけしか書いてなかったわ >>939
参考にってかいてあったから攻撃手法部分だけ書き換えて書いた 続けて午後 問1の予想配点
設問1
3点
設問2
(1)4点
(2)データ:3点
検証:3点
(3)6点
(4)3点
(5)6点
設問3
(1)6点
(2)e:3点、f:3点
(3)4点
(4)利点:3点
内容:3点 午後の解答はよ
って、いつも1カ月以上後なんだろ
解答も用意しておいてくれよ >>943
答案読んでから作るんやろ
別解が出たら面倒だから >>943
午後の回答って合格発表の前日とかじゃなかったっけ? 免除で午後2を受けたけどカオスエンジニアリングみたいなのが出なかったし
今回は楽だったかなとは思うが
午後は30分で退出した人が何人かいたし自分は最後まで粘っても
まともな答えは出なかったな勉強不足というかどうしたらいんだろうと悩む >>945
せやな
2ヶ月後とかや
午前は今日公開されるからそれ確認したらしばらくは忘れるやで >>947
はえー7月かまだまだ先やな
去年応用受けた時は6月末だった記憶があるが、今年は変わったんやね
確か具体的な日程も試験当日中に公表されてた気がするししばらく待つやで >>944
IPA「正解は一つじゃない」wとか言って
ある意味、難しい問題が出題されてるだろうなw レス数が950を超えています。1000を超えると書き込みができなくなります。