本文へスキップ

技術士試験(情報工学部門)・情報技術者試験。ファーストマクロ。


Since 2016.4.19

令和4年度 秋期 応用情報技術者試験問題と解説

問45

ファジングに該当するものはどれか。

ア Webサーバに対し、ログイン、閲覧などのリクエストを大量に送り付け、一定時間内の処理量を計測して、DDoS攻撃に対する耐性を検査する。

イ ソフトウェアに対し、問題を起こしそうな様々な種類のデータを入力し、そのソフトウェアの動作状態を監視して脆弱性を発見する。

ウ パスワードとしてよく使われる文字列を数多く列挙したリストを使って、不正にログインを試行する。

エ マークアップ言語で書かれた文字列を処理する前に、その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して、脆弱性が悪用されるのを防止する。


正解


解説

ア 耐久性テストや、DDoSシミュレーションテストに該当する。
なお、DDoS (Distributed Denial of Service attack) は、分散して一斉にDoS攻撃を仕掛けることである。

イ 正しい。ファジングは、ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つけることである。

ウ ペネトレーションテストに該当する。ペネトレーションテストは、コンピュータやネットワークのセキュリティ上の脆弱性を発見するために、システムを実際に攻撃して侵入を試みる手法である。

エ サニタイジングに該当する。サニタイジングは、Webサイトへの不正な入力を排除するために、Webサイトの入力フォームの入力データから、HTMLタグ、JavaScript、SQL文などを検出し、それらを他の文字列に置き換えるプログラムのことである。

問44 目次 問46