情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。

09.サーバセキュリティ

セキュアプログラミング

1.セキュアプログラミングとは 2.XAMPP(ザンプ)をインストールしてPHP 3.PHPの簡単なスクリプト 4.IPAのセキュアプログラミング 5.セキュアプログラミングのプログラム言語 6.同一源泉ポリシー 7.Use-After-Free 1.セキュアプログラミングとは セキュアプ…

バッファオーバフロー

1.バッファオーバフローの概要 (1)バッファとは (2)バッファオーバフローの動作 2.本当に実現できるのか 3.バッファオーバフローの過去問 4.メモリ空間を見てみよう 5.バッファオーバフローを実際にやってみよう 6.実際にやってみよう2 1.バッファオーバフ…

HTTP

1.POSTとGETという2つのメソッド (1)スクリプトの内容 (2)POSTの場合 (3)GETの場合 2.referer 3.Webビーコン 4.プロキシツールによる検査 5.クローラへの耐性 1.POSTとGETという2つのメソッド HTTPのメソッドには8つのメソッドがある。http://nw.seeeko.com/…

Web系の脅威

1.クリックジャッキング (1)クリックジャッキングとは (2)対策 2.MITB 3.Webインジェクト 4.フィッシング(Phishing) 5.SEOポイズニング 6.ディレクトリリスティング 1.クリックジャッキング (1)クリックジャッキングとは 情報セキュリティスペシャリスト試…

アクセス制御

1.アカウント管理 2.アクセス権を設定 - 最小権限(need-to-know) 3.アクセス制御の方式(MACとDACとRBAC) 4.アクセス制御の設定ファイル 1.アカウント管理 過去問(H22SM午後1問4)には、アカウント管理のセキュリティ要件がまとまっているので、抜粋しま…

セッション管理と関連する攻撃

1.セッション管理の方法 (1)セッション管理とは (2)セッションIDの管理方法 2.Cookie(クッキー) (1)Cookieによるセッション管理 2.Cookieの内容 3.Cookieの配置場所と実際のCookie 4.Cookieによるセッション管理を試してみる。 3.セッションハイジャック (…

DNSのセキュリティ

1.DNSキャッシュポイズニング (1)概要 (2)DNSキャッシュポイズニングの対策 ①送信元ポート番号のランダム化 ②DNSサーバの構成変更 ③DNSSEC (3)過去問で詳しく学習 2.なぜDNSはコンテンツサーバとキャッシュサーバに分けるのか 3.その他 (1)DNSのゾーン…

ログ管理

1.うわきのセキュリティ対策 2.ログの目的 3.ログのセキュリティ 4.どんなログを取るべきか 5.情報漏えいの検知 1.うわきのセキュリティ対策 姉が、旦那が浮気しているか心配、と悩んでます。どういう対策をすればよいでしょうか?GPS携帯で監視するとか、お…

全般

1.アプリケーションセキュリティに関する過去問 2.Webサイトにおける一般的な情報セキュリティ問題と対策 3.Webサーバに対する脅威 1.アプリケーションセキュリティに関する過去問 H18SU午後Ⅱ問1の「図5 セキュリティ強化提案書」の穴埋めにチャレンジしよう…

クロスサイト攻撃

1.クロスサイトスクリプティング(XSS) 2.DOMベースのXSS (1)DOMとは (2)DOMベースのXSS 3.クロスサイトリクエストフォージェリ(Cross Site Request Forgeris) (1)概要と仕組み (2)クロスサイトリクエストフォージェリ(CSRF)対策 1.クロスサイトスクリ…

インジェクション攻撃

1.SQLインジェクション ①SQLインジェクションとは 2.SQLインジェクション ②対策の全体像 (1)根本的解決 (2)保険的対策 3.SQLインジェクション ③対策:静的プレースホルダ(バインド機構) 4.SQLインジェクション ④対策:サニタイジング(エスケープ)処…

その他

1.不正にだましとる人って口座情報から足がつかないの? 2.ネットで年齢確認があるけど、あれは意味があるのか。 3.データベースセキュリティ 4.ネットショップで買うとクレジット番号ばればれだよね。 5.SET(Secure Electronic Transaction) 6.アダルトサ…