ファジングに該当するものはどれか。
- Webサーバに対し,ログイン,閲覧などのリクエストを大量に送り付け,一定時間内の処理量を計測して,DDoS攻撃に対する耐性を検査する。
- ソフトウェアに対し,問題を起こしそうな様々な種類のデータを入力し,そのソフトウェアの動作状態を監視して脆弱性を発見する。
- パスワードとしてよく使われる文字列を数多く列挙したリストを使って,不正にログインを試行する。
- マークアップ言語で書かれた文字列を処理する前に,その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して,脆弱性が悪用されるのを防止する。
解答
イ
解説
ファジングは、ソフトウェアに予期せぬ入力データを与え、ソフトウェアの脆弱性やバグを発見するテスト手法です。
具体的には、以下の手順で行われます。
- ファズデータの生成
ランダムなデータや、問題を起こしそうなデータ、不正なデータなどを生成します。 - ファズデータの投入
生成したファズデータを、ソフトウェアに入力します。 - ソフトウェアの動作監視
ソフトウェアの動作を監視し、予期せぬ挙動やエラーが発生していないかどうかを確認します。 - 脆弱性の発見
予期せぬ挙動やエラーが発生した場合、その原因を分析し、ソフトウェアの脆弱性を発見します。
- Webサーバに対し,ログイン,閲覧などのリクエストを大量に送り付け,一定時間内の処理量を計測して,DDoS攻撃に対する耐性を検査する。
負荷テストに該当します。 - ソフトウェアに対し,問題を起こしそうな様々な種類のデータを入力し,そのソフトウェアの動作状態を監視して脆弱性を発見する。
正しいです。
ファジングに該当します。 - パスワードとしてよく使われる文字列を数多く列挙したリストを使って,不正にログインを試行する。
辞書攻撃に該当します。 - マークアップ言語で書かれた文字列を処理する前に,その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して,脆弱性が悪用されるのを防止する。
エスケープ処理(サニタイジング)に該当します。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | セキュリティ技術評価 |
出題歴
- AP 令和4年度秋期 問45
- AP 令和4年度春期 問45
- AP 令和元年度秋期 問44
- AP 平成30年度春期 問42
