こんにちは、ゲスト参加の中山です。
最近、久しぶりに情報処理技術者試験を受験しました(写真は試験日前後の桜です。変化が早い)。
試験時間 5 時間!という長丁場はコタえましたが、たまに味わう緊張感も悪くないですね。
というわけで、ここを押さえればたぶん合格、という項目を無責任に列挙してみました。
情報処理安全確保支援士を受験する方は参考にしてください (^o^)
- カミンスキー型攻撃が従前の DNS ポイズニングよりも成功しやすい理由は?
- PTR / WHOIS / RDAP の説明
- DNS ラウンドロビン / ダイナミック DNS の説明
- 攻撃者が自分の秘密鍵と公開鍵を使っても DNSSEC を悪用できない理由は?
- SPF / DKIM / DMARC の説明
- POP Before SMTP + OP25B はどのような問題を解決したのか?
- さらに SMTP AUTH + Submission over TLS はどのような問題を解決したのか?
- 攻撃者が NDR スパムメールを使う理由は?
- 攻撃者がイメージスパムメールを使う理由は?
- greet pause はどのような問題を解決したのか?
- メールヘッダインジェクション攻撃の具体例
- メールアドレス収集方法(開封ビーコン / ハーベスト攻撃)の説明
(参考 : ちゃんと読んでくれましたか?) - DOM Based XSS の SOURCE と SINK の具体例
- JavaScript で \uXXXX エンコードを用いるべき理由は?
- 文字コードの自動判定を利用した XSS の具体例
- レスポンス分割攻撃の具体例
- PW 失念時の再設定メール送信画面でセッション ID を発行すべき理由は?
- ログイン後に HTTP にリダイレクトする場合のお作法とそうすべき理由は?
- Cookie が使えない UserAgent のログインセッション維持方法の留意点は?
- PGP / S-MIME の説明
- Enveloped / Enveloping 署名の具体的な用途
- 準同型暗号が電子投票の不正を除去できる理由は?
- ヒステリシス署名 / ブロックチェーン / タイムスタンプアーカイブの説明
- パスワードのストレッチング / S-Key の説明
- 入力文字列長の確認(制限)はどのような攻撃に対して効果があるか?
- ブラインド SQL インジェクションの具体例
- SYN Flood はどのようにロギングするのか?
- SYN Cookies の説明
- ICMP を全て破棄した場合の課題は?
- NIC 二枚刺しで v4/v6 共有した場合のリスクは?
- IP エニーキャスト / VRRP の説明
- Firewall におけるステートフルインスペクションの説明
- 中古の IOT 機器は何に注意すべきか?
- スイスチーズモデルの優位性は?
- サーバアクセスがチケットベース(Kerberos 認証)であることの利点は?
- リスクベース認証利用の具体例
- ステガノグラフィ利用の具体例
- 情報漏洩の対外公表を「ほとぼりがさめてからすべき」という意見がある理由は?
- 外部から報告された脆弱性対応で留意すべき点は?
- 作業報告書と通信ログを突合せすべき理由は?
- 最近のボットが SOC の IRC 監視を逃れるため利用するサービスは?
何故そのような仕組みなのか、を突き詰めることが出来れば午後の応用問題にも対応できるはずです。
蛇足ですが、以下はセキュリティーやトラッキングに関連する記事です。こちらもよろしければ一読を!
