【SC】情報処理安全確保支援士試験 Part160
レス数が1000を超えています。これ以上書き込みはできません。
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
!extend:on:vvvvv:1000:512
情報処理安全確保支援士試験(SC)
[ Registered Information Security Specialist Examination ]
https://www.ipa.go.jp/shiken/kubun/sc.html
情報処理技術者試験センター
https://www.ipa.go.jp/shiken/
情報処理技術者試験・情報処理安全確保支援士試験 マイページ
https://itee.ipa.go.jp/ipa/user/public/
情報処理技術者試験 総合統一スレ 3
https://kizuna.5ch.net/test/read.cgi/lic/1484740145/
情報処理技術者試験 高度試験共通午前T Part4
https://kizuna.5ch.net/test/read.cgi/lic/1675777374/
関連スレ
【RISS】情報処理安全確保支援士 Part27
https://kizuna.5ch.net/test/read.cgi/lic/1658154820/
・スレを立てる時には>>1の本文1行目行頭に『!extend:on:vvvvv:1000:512』を入れて立てて下さい。
前スレ
【SC】情報処理安全確保支援士試験 Part159
https://kizuna.5ch.net/test/read.cgi/lic/1697900510/
VIPQ2_EXTDAT: default:vvvvv:1000:512:: EXT was configured >>905
その意図感じたわ。全部列挙させんのやばいよなぁw インフラエンジニアは今回ネスぺ受けてるでしょって思ってこの問題構成なのかもしれない… これまでよくあった「本文を読み落とさなければ答えられる」って設問が少なかった気がする
みんなの感触はどう? >>905
これ2つ同じ答えだと変かなと思って、運用者はログ、開発者はコンソールとログで見えるよ!って書き足しといたわ、、無駄ボーンだったようだな!ははは >>909
変だと思ったけど吐き出す命令文が々やからおなじやな 注意喚起はクリックして開いたブラウザのアドレスのドメインなどを確認すると書いたけど。 問2の盗聴のところは構成図を見てL2SWがあったので、(どうやって目の前まで行けるのか知らんが)ミラーポート作ってそこから取ればいいんじゃね?って書いたw >>884
設問2の(3)はパスワード無しが正解でしたか。
重要情報に該当するデータ項目に該当し、修正前のUserDataクラスのソースコードでは、
・パスワードが平文でユーザーマスターテーブルに保存されてしまう。
と書いてあったので、ハッシュ化されていないものが見えてしまうのは、禁止事項に該当すると深読みしてしまいました。 >>912
下線の前にURLで判断させるのは難しいみたいなこと書いてあったかと わいの注意喚起は、当該事例をアニメ化して従業員にストーリーを体験させるって書いてしまったorz >>917
アニメはともかく事例を動画にまとめて社員教育を日頃からしていくっていうのは結構やってそうではある >>903
IDPW認証とか書いてあるからリクエストだけなら誰でも出せる
だから対象と判断した 午後2なんて詳しく書かずに平たく曖昧に書いとけばいいんだよ(泣) >>898
取引先webサーバを考慮するの忘れてたわ
ダメダメだなぁ >>914
仮に平文で登録されたとしても、認証で入力されたPWのハッシュ値と照合するときに絶対に引っかかる
こんな設計誰がした 参考書一冊読んだのにSameSiteの事なんかどこにも書いてなかったぜ… 問4 予想配点
設問1
(1) 4点
(2) 4点
(3) 4点
設問2
(1) 4点
(2) 4点
(3) 運用担当者 記述4点 記号2点
開発担当者 記述4点 記号2点
(4) 4点
(5) 6点
(6) 4点
(7) 4点 >>917
そうIPAの動画のようにー!
これさすがに正解やろ.., simesiteはCSRF対策調べてたときに出てきてたからわかってた
参考書だけだと駄目だよねこの試験 >>929
範囲が広すぎる
でも今回の出題はこの業界の常識の範囲内だと思った 501なんか?w
小数点とかならねーだろと思ってたけど
500.5なら、そうか 攻撃の手順を具体的に答えよ
みたいなのぼっかり出しやがって! 問1の設問2(1)は
10000件って1000秒だから絶対10分で終わらんやろ、ああ平均か
なら半分の500秒で
で出したわ 午後問1は計算問題があったので(しかも小数点だと!?)中身を見ずに回避、問3はxssとcsrfがありこれにしようかなと思ったらssrfとかいう見慣れぬワードがあったため回避
結果、得意な問4と消去法で3を選択。 参考書なんていまだにクリックジャッキング対策はx-flame-optionとか書いてるでしょ
過去問やってCSPとか初めて出てきた発狂したわ でも、1秒で10回なら
0.1秒で1回だから
やっぱ、500.05?とかだから
500でいいのか?w >>924
ワイは逆に取引先だけしか書いてなかったわ >>939
参考にってかいてあったから攻撃手法部分だけ書き換えて書いた 続けて午後 問1の予想配点
設問1
3点
設問2
(1)4点
(2)データ:3点
検証:3点
(3)6点
(4)3点
(5)6点
設問3
(1)6点
(2)e:3点、f:3点
(3)4点
(4)利点:3点
内容:3点 午後の解答はよ
って、いつも1カ月以上後なんだろ
解答も用意しておいてくれよ >>943
答案読んでから作るんやろ
別解が出たら面倒だから >>943
午後の回答って合格発表の前日とかじゃなかったっけ? 免除で午後2を受けたけどカオスエンジニアリングみたいなのが出なかったし
今回は楽だったかなとは思うが
午後は30分で退出した人が何人かいたし自分は最後まで粘っても
まともな答えは出なかったな勉強不足というかどうしたらいんだろうと悩む >>945
せやな
2ヶ月後とかや
午前は今日公開されるからそれ確認したらしばらくは忘れるやで >>947
はえー7月かまだまだ先やな
去年応用受けた時は6月末だった記憶があるが、今年は変わったんやね
確か具体的な日程も試験当日中に公表されてた気がするししばらく待つやで >>944
IPA「正解は一つじゃない」wとか言って
ある意味、難しい問題が出題されてるだろうなw >>905
これ最初に重要情報の定義があって氏名、住所、電話番号、メールアドレスだけだと思ったんだけど 今後のために、まだよく覚えている内に
午後の解説ききたいわ
1000円ぐらいなら払うw ユーザー0ID、ユーザーID、パスワード
だけで解答してしまったw >>917
お硬い試験でこういう自由な発想できるやつ羨ましいわw >>952
ハッシュ化されない可能性があるのでパスワードもでしょうか?
そもそもハッシュ化されてようが見ては駄目という意味での問だと思ってました。 >>957
システム運用担当者とシステム開発者は重要情報にアクセスしてはならないと表1の18に記載されてて重要情報は評価1の5に記載されてる。
その中でユーザーマスターテーブルで該当するのは氏名、住所、電話番号、メールアドレスだけだった SSRFは重点対策に掲載してる過去問にも出てたと思う 今日のクッキーは、おいしくなさそうだったから選ばなかったw ホント下駄お願いします
下駄がある程度もらえればワンチャン 午前2が比較的簡単だったので、通過率80%だとして、
最終合格率は20%に落とすのだから、逆下駄はあるかもしれないですね。
素点で7割ないときついかもしれないですが、自分はそもそも3割くらいなのでもう諦めてます んーでもソースコードを見ると(省略されてるけど)全部書き込むっぽいし、書き込むとSQL文が全部logに出力されるんだよね、、
そうするとlog見れば全部見れちゃう気がするんだけど(重要かどうかにかかわらず)、、 問1、[j|J]だとj,|,Jの3文字から選ばれると認識されるからだめなんかこれ >>967
開発者のデバッグコードが残ってしまった感じです
Javaとか最新の言語には#ifdefとか無かったよね >>957
あれ、パスワードってハッシュ化されてないっけ >>971
めっちゃ平文だから最後ハッシュ化させる問題なんじゃ... 午前2が簡単すぎる。使い回しばっか。
それでいて午後は開発者以外お断り出題構成。過去問や参考書が役に立たない。
バランス悪すぎる。今回クソゲー感がひどいわ。
令和5年秋路線が理想だった。
午前2が適度に難しく、ネットワークとマネジメントで合格できる試験構成。
問4には度肝を抜かれたけど、終わってみたら評判良かったし、良問だったんじゃないか。
村山先生や左門先生の解説も勉強になった。
「SC受験者が従事するセキュリティ関連業務の多様性の高まり、境界の曖昧化の傾向等を踏まえ、午後T試験と午後U試験を統合して問題選択の幅と時間配分の自由度を拡大しました」
今回の出題構成にした奴、クビにしてくれ。
この要旨で開発経験者以外合格できないような出題構成は、クレームも正当だ。 ほんまや、なんでパスワード抜いたんだ……もう無理ッス っていうか一応肩書きは開発者なのに全然解けんかったわ 合格率が20%超えちゃったから難しくしたのでは知らんけど >>976
たぶん18か16%くらいにしたいんやろな
登録セキスペもかなーりいないらしいから そうか?
SCは2回目の受験だけど
午後は、よさげな問題ばかりじゃねw 自分は2年前にも受験してるんだが今回はスレの流れが嘆き多めだからやっぱ難しかったと思うよ 問3完全に開発向けって訳ではないから、ここを日本語問題用途にしてくれたらそこまで不満なかった ネットワーク系のセキュリティはネスペに移行する気なのかな… 別に合格率が
10%、10%以下だろうが
試験を通じて得るものが
見合ってる方がよいだろw
資格持ってます、だけとか意味なくね?w >>986
まあ実務ありきの業界だから、それを言ったらそもそも資格は自己満みたいなところはあるんだが
同じ自己満なら形に残したい >>969
()とパイプ「|」がセット表現だからそうだろうね
(j|J)か[jJ]のどちらかのはず またbooking.comモデルにした内容出たのかよ
多要素回避はフィッシングサイトやで わしもナチュラルにCSIRTにしたわw
今調べてビビったw >>991
CSIRTとwhoisは絶対違うで外して2択にしたが
何でも屋のSOCにしてアウト 今回の午後問題は10月に復讐してやる。
解説ないと無理。 午後どう考えても5割取れてる気がしねえ〜
受験者の半数が名前書き忘れてたらワンチャンあるな >>989
このあたり、実際にやるときは試しながら理解していくようなタイプは本試験向いてないだろうな あれ?てかセキスペって秋もあるのか
じゃあ秋頑張るわ ネスペもどえらい簡単だったみたいだ
ただ次は来年なんだよなあ
絶対揺り戻しと謎プロトコル出してきそう このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 80日 18時間 0分 31秒 レス数が1000を超えています。これ以上書き込みはできません。
