令和6年春の過去問の問1の解説をします。
題材はAPIセキュリティです。
では早速解説に移ります。
【情報処理安全確保支援士 オススメ書籍】
セキュリティについてが細かく解説されています。
テキストで学習した後すぐに問題を解ける構成になっているので効率よく勉強できます。
また午後問題もいくつか掲載されていて、解説までついてきます。
ダウンロード特典もあるので非常にオススメの一冊!!
【情報処理安全確保支援士 オススメ書籍】
午後試験に関してはこの『重点対策』が一番だと思います。
試験の解き方から勉強方法、セキュリティについての細かい解説が紹介されています。
午後対策で迷ったらまずはこの1冊を手にとって勉強してみることをおすすめ!
問1
RESTful APIの設計原則
ステートレス
RESTの特徴としてサーバはクライアントの状態を保持せずに独立していることを「ステートレス」と言います。
問2
(1)総当たり攻撃の平均突破時間
500
4桁の数字(0000〜9999)を1秒間に10回試行 → 平均500秒で突破可能となります。
(2)JWTの検証対象と内容
検証データ:JWTヘッダ内のalgに指定された値
検証内容:NONEでないことを検証する
署名なしのJWTを拒否する必要があるので、NONEでないことを確認します。
(3)P呼出し処理に追加すべき処理
JWTに含まれる利用者IDがmidの値と一致するかどうかを検証する
なりすまし防止のため、JWTのペイロードとリクエストパラメータの照合が必要になります。
(4)cに入れる字句
共通モジュールP
利用者ステータスの変更を担うのが共通モジュールPだから。
(5)dに入れる処理内容
連続失敗回数がしきい値を超えたらアカウントをロックする処理
総当たり攻撃の対策といえば連続失敗回数のしきい値を設定して、超えたらアカウントをロックする。
問3
(1)テストサーバに実装する仕組み
テストサーバのindex.htmlへのアクセスを記録して確認する仕組み
(2)e,fに当てはまる字句
| 空欄 | 解答 |
| e | Header |
| f | Header |
どちらもヘッダーに含まれるため。
(3)正規表現パターン
\W[jJ][nN][dD][iI]\W
(4)遮断ではなく検知を設定する利点
検知の際に被害を最小化するための実施内容
誤検知による遮断を防ぐことができる
アラートを受信したら攻撃かどうかを精査する
検知を利用することにより誤検知を防ぐことができます。
ですが、攻撃を遮断することができたないため、アラートが出た場合は管理者がすぐに攻撃の有無を精査する必要がでてきます。
関連記事
コメント