ITの仕組みを学びながらIT資格を目指しましょう。
本ブログで目指す資格は、「基本情報技術者試験」です。
基本情報技術者試験については、こちらもご参照ください。
問題については、独立行政法人情報処理推進機構(IPA)が公開している「サンプル問題」を利用します。
この問題の取り扱いは、IPAが定める指針に基づきます。
まずは、「科目A」について、学んでいきましょう。
今回のテーマは、「ファジング」です。
科目A試験サンプル問題 「ファジング」
問34 ファジングに該当するものはどれか。
ア サーバにFIN パケットを送信し,サーバからの応答を観測して,稼働しているサービスを見つけ出す。
イ サーバのOS やアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して,ファイルサーバに保存されているファイルの改ざんを検知する。
ウ ソフトウェアに,問題を引き起こしそうな多様なデータを入力し,挙動を監視して,脆弱性を見つけ出す。
エ ネットワーク上を流れるパケットを収集し,そのプロトコルヘッダやペイロードを解析して,あらかじめ登録された攻撃パターンと一致するものを検出する。
正解:ウ
ファジングとは
「ファジング」とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで脆弱性を検出する検査手法です。
例えば、あるソフトウェア製品に極端に長い文字列や通常用いないような制御コードなどを送り込み、状態を観察します。その結果、予期せぬ異常動作や異常終了、再起動などが発生した場合、このソフトウェア製品の処理に何らかの問題がある可能性が高いと判断できます。このように、ソフトウェア製品(の製品開発者)が想定していないデータを入力し、その挙動から脆弱性を見つけ出す検査手法を「ファジング」と言います。(図 2.1-1)
(引用)ファジング活用の手引き(PDF) IPAのWebサイト
コメント