HOME»情報処理安全確保支援士掲示板»H28秋  午後2  問2について
投稿する

H28秋  午後2  問2について [1741]

 ゆーぼさん(No.1) 
お世話になっております。
表記問について、下記2点が気になりました。

①問題文の表現について
  20P  表1  案2  クラウド型中に、
  「CNAMEレコードにおいて公開Webサーバの別名としてサービス事業者に指定されたFQDNを記述する」
  とありますが、CNAMEレコードの構造は「別名 IN CNAME 元ドメイン名」です。
  Webサーバのドメイン名で名前解決要求されたときに、
  サービス事業者のWAFに飛ばしたいならば別名は公開Webサーバ側ではないでしょうか?。
  誤植でしょうか?
  (公開Webサーバのドメイン名  IN CNAME サービス事業者のWAF)

②設問4  (3)について
  公式解答では「プロキシサーバを通じて攻撃者のサイトと通信する機能」となっておりますが、
  認証情報やらも渡してプロキシを通し他サイトに直接通信させるという、
  OSコマンドはそもそも存在しないですよね...?
  社内Webサーバの情報をダウンロードした上で、プロキシに窃取した認証情報を渡し、
  HTTPリクエストとして情報を持ち出すという機序が当該設問部分では正しい順序ではないでしょうか。
2024.09.28 17:53
pixさん(No.2) 
SC ダイヤモンドマイスター

>CNAMEレコードの構造は「別名 IN CNAME 元ドメイン名」です。
問の文中の別名とは単にエイリアスの意味で用いられています。
CNAMEレコードの構造の別名とは違う意味というか、言葉の綾に近いです。
問の文は「公開WebサーバのIPアドレスの代わりにエイリアスとして・・・」と
いう意味合いの文章と推測されます。


>認証情報やらも渡してプロキシを通し他サイトに直接通信させるという、
>OSコマンドはそもそも存在しないですよね...?
スレ主様はコマンドとHTTPリクエストの区別が曖昧のようです。
WebブラウザもHTTPリクエストを発行することのできるGUI型コマンドです。
これと同様にcurlやwgetといったコマンドはHTTPリクエストを発行する
ことのできるCUI型コマンドです。
curlやwgetは認証情報を設定すればプロキシサーバを経由した通信もできます。
2024.09.28 18:39
 ゆーぼさん(No.3) 
pix様、お世話になっております。
ご回答いただきありがとうございます。

①について
そういう事なのですね。納得出来ました。

②について
コマンドに対して「ターミナルでうつ文字列(関数的な何か・処理の指示)」という認識しかありませんでした。何かを行う主体というのがより近い認識でしょうか(今回で言えばHTTPリクエストを送出する処理を行う主体)?
社内Webサーバにご教示いただいたcurl等のコマンドを渡し、社内Webサーバを起点としてHTTPリクエストをプロキシ経由で送出させるという事ですね。

いつもご丁寧にわかりやすくご回答いただき、ありがとうございます。
2024.09.28 18:48
pixさん(No.4) 
SC ダイヤモンドマイスター
>コマンドに対して「ターミナルでうつ文字列(関数的な何か・処理の指示)」という
>認識しかありませんでした。何かを行う主体というのがより近い認識でしょうか
>(今回で言えばHTTPリクエストを送出する処理を行う主体)?
はい。そのような認識でよいかと思います。
そもそも、
・コマンド
・ツール
・アプリケーション
といった言葉は定義が難しく、その文脈で意味も変わってきます。

今回であれば「OSコマンド」と使われていますので、ほぼほぼCUIツールで
あると考えてよいと思われます。

またHTTPとはプロトコルです。そのプロトコルを発生できるのであれば、
手法は問いません。
その手法として考えられるのが、
・GUI:Webブラウザなど
・CUI:curlやwgetなど
・手動:telnetコマンドなどで直接HTTPプロトコルを入力する
などです。

知らない方も多いかもしれませんが、簡単なHTTPプロトコルであれば、
telnetで80番ポートに接続して、手動で"GET / HTTP1.0"などのように入力すれば
Webサーバから応答が返ってきます。
2024.09.28 19:05
pixさん(No.5) 
SC ダイヤモンドマイスター
おまけですが、Webエンジニア・インフラエンジニアであれば、
curl・wgetコマンドを覚えることは非常に大切です。

・curl
主に疎通確認に使う。様々なプロトコルを扱うことが可能。
実業務でも、プロキシが正常に動作しているかの確認にも使うことが多い。

・wget
主にファイル取得につかう。他のサーバからのファイル連携や、大量のファイル
ダウンロードなど、CUIでGETメソッドを利用するために利用する。
2024.09.28 19:11
 ゆーぼさん(No.6) 
pix様、ご返信いただきありがとうございます。
私自身頭が固いのか、どうしても1用語=1定義で紐づけようとしてしまいます。
文脈に応じて柔軟に広い意味で解釈して取り組みたいと思います。

また、curl、wgetコマンドについてもご教示いただきありがとうございます。
Linuxのコマンドは一通り攫ったつもりでしたが、
やはり実際に手を動かして使っていないと、何となくでしかつかめないですね。
(~~といえば?と聞かれてコマンド名を答えれる程度の付け焼刃状態...)

改めてLinux周辺の知識も本番までに補強したいと思います。
ありがとうございます。
2024.09.28 19:53
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop