セキュリティ技術評価(全16問中3問目)
No.3解説へ
ファジングに該当するものはどれか。
出典:令和4年秋期 問45
- Webサーバに対し,ログイン,閲覧などのリクエストを大量に送り付け,一定時間内の処理量を計測して,DDoS攻撃に対する耐性を検査する。
- ソフトウェアに対し,問題を起こしそうな様々な種類のデータを入力し,そのソフトウェアの動作状態を監視して脆弱性を発見する。
- パスワードとしてよく使われる文字列を数多く列挙したリストを使って,不正にログインを試行する。
- マークアップ言語で書かれた文字列を処理する前に,その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して,脆弱性が悪用されるのを防止する。
正解 イ問題へ
広告
解説
ファジング(fuzzing)とは、検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法です。
ファジングは、ファズデータの生成、検査対象への送信、挙動の監視を自動で行うファジングツール(ファザー)と呼ばれるソフトウェアを使用して行います。開発ライフサイクルにファジングを導入することで「バグや脆弱性の低減」「テストの自動化・効率化によるコスト削減」が期待できるため、大手企業の一部で徐々に活用され始めています。
- 負荷テストやDDoS演習に関する記述です。
- 正しい。ファジングに関する記述です。
- 辞書攻撃に関する記述です。
- サニタイジング(エスケープ処理)に関する記述です。