模擬試験(ドメイン8)

ドメイン8の試験です。

70%以上で合格になります。

Results

すばらしい!

まだ見ていないコンテンツがあるかも。

#1. コンピュータプログラミングでは、結合度と凝縮度が使用されます。 次の中で結合度と凝縮度の好ましい組み合わせはどれですか?

モジュールが低い結合度と高い凝縮度とを有すると記述されている場合、それは良いことです。 凝縮度が高いほど、更新や変更が容易になり、相互作用する他のモジュールには影響しません。 これはまた、モジュールの再利用と保守が容易であることを意味します。結合度は、1つのモジュールがそのタスクを実行するために必要な相互作用の量を示す測定値です。モジュールの結合度が低い場合は、モジュールが他の多くのモジュールと通信してジョブを実行する必要がないことを意味します。 これらのモジュールは、他の多くのモジュールに依存してタスクを実行するモジュールよりも理解しやすく、再利用も容易です。 また、これらのモジュールの周りの多くのモジュールに影響を与えることなく、モジュールを変更する方が容易です。

#2. さまざまな顧客向けにモバイルデバイスアプリを開発するための新しいソフトウェア開発会社が立ち上げられました。 同社には才能のあるソフトウェアプログラマーが雇用されていますが、時間の経過とともに改善できる標準化された開発プロセスを実装することはできませんでした。 次のうち、ソフトウェア開発プロセスを改善するためにこの会社が取る最良のアプローチはどれですか?

能力開発成熟度モデル統合(CMMI)は、製品とソフトウェアを開発するための包括的な統合ガイドラインです。 コンセプト定義、要件分析、設計、開発、統合、インストール、運用、保守、各段階で何が起こるべきかなどソフトウェア開発ライフサイクルのさまざまなフェーズに対応しています。 このモデルでは、ソフトウェア開発プロセスの成熟の基礎となる手順、原則、実践について説明します。ソフトウェアベンダーが開発プロセスを改善するのを支援するために開発されたものです。ソフトウェアの品質を向上させ、開発のライフサイクルを短縮し、マイルストーンを作成して適時に満たすことができ、効果の低い反応的アプローチよりも積極的なアプローチを採用できるでしょう。

×:ソフトウェア開発ライフサイクル

ソフトウェア開発ライフサイクル(SDLC)が、ライフサイクルを通してシステムをどのように開発し維持するべきかを記述し、プロセスの改善を伴わないため、正しくありません。

 

×:ISO/IEC 27002

ISO/IEC 27002が国際標準化機構(ISO)および国際電気標準会議(IEC)が組織情報セキュリティ管理システム(ISMS)を作成および維持する方法を概説する国際標準であるため、誤りです。 ISO / IEC 27002には、情報システムの取得、開発、保守を扱うセクションがありますが、ソフトウェア開発のプロセス改善モデルは提供していません。

 

×:認定および認定プロセス

認証および認定(C&A)プロセスが事前定義された基準に対するシステムのテストおよび評価を処理するため、正しくありません。 これは、ソフトウェア開発プロセスの改善とは関係ありません。

#3. 一般的にソフトウェアを取得するための最も安全な方法は何ですか?

ラボ環境内のすべてのソフトウェアのテストC.ブラックボックスは、敏感な環境に展開前に、両方の機能とセキュリティの欠陥を発見するための最良の方法です。

 

×:一度デプロイメント環境でテストした独自のソフトウェアの評判のベンダーから

関係なく、機能やセキュリティ上の欠陥の両方の製品を出荷しているかの評判の良い、すべてのソフトウェア・ベンダーが正しくないためではありません。人気が等しくないセキュリティを行います。それは生きてデプロイメント環境に導入される前に、また、ソフトウェアは、ラボ環境でテストする必要があります。

 

×:大規模かつ活発なコミュニティによってバグのために検査されている非常に人気のあるオープンソースのソフトウェアをダウンロードする

ずっと人気のプロプライエタリベンダーの評判と同様に、オープンソースのコードベースの人気は、それが適切にホワイトボックステストされていることを保証するわけではないので、間違っています。エリック・レイモンドは、言うために有名であるように、「与えられた十分な眼球、すべてのバグが浅いです」しかし、あなたはどちらかオープンかクローズドソースのソフトウェアを使用して、試してみましたどのように多くの目知る方法はありません。

 

×:オープンソース・ソフトウェアのダウンロードとコードベースは、暗号チェックサムによって検証された後にのみ、それを展開します

暗号チェックサムを検証することを確認するためのベストプラクティスであるが、それは誰にでもできるではないため、正しくありません。コードベースにアクセスし、変更されている可能性がある場合、そのように配信のためにそれをホストするWebページのチェックサムができます。

#4. (A)は、特定のWebサービスによって提供される特定の操作の機械可読な記述を提供します。(B)は、サービスプロバイダによって登録され、サービスの消費者によって配置するための方法を提供します。

サービス指向アーキテクチャ(SOA)のサービスは、通常Webサービスを介して提供されています。Webサービスは、Simple Object Access Protocol(SOAP)、HTTP、Webサービス記述言語(WSDL)、ユニバーサルの説明、発見、および統合(UDDI)のように、Webベースの標準を使用してシームレスに発生するためのWebベースの通信を可能にします。WSDLは、サービスによって提供される特定の操作の機械可読な記述を提供します。UDDIは、利用可能なサービスを一覧表示し、XMLベースのレジストリです。UDDIは、サービスプロバイダによって登録され、サービスの消費者によって配置されるサービスのための方法を提供します。

 

×:汎用の説明、発見と統合ーウェブサービス記述言語

用語が正しい順序ではなく、質問内に設けられた定義にマップされないため、間違っています。WSDLは、サービスによって提供される特定の操作の機械可読な記述を提供します。UDDIは、利用可能なサービスを一覧表示し、XMLベースのレジストリです。UDDIは、サービスプロバイダによって登録され、サービスの消費者によって配置されるサービスのための方法を提供します。

 

×:Webサービス記述言語ーシンプル・オブジェクト・アクセス・プロトコル

SOAP(Simple Object Access Protocol)は、Webサービス環境でメッセージをエンコードするXMLベースのプロトコルであるため、正しくありません。SOAPは、実際に通信が行われるように起こっているかのXMLスキーマを定義します。SOAP XMLスキーマは、オブジェクトが直接通信する方法を定義します。SOAPはこの質問で識別された項目ではありません。

 

×:簡易オブジェクトアクセスプロトコルーユニバーサルの説明、発見および統合

SOAP(Simple Object Access Protocol)は、Webサービス環境でメッセージをエンコードするXMLベースのプロトコルであるため、正しくありません。SOAPは、実際に通信が行われるように起こっているかのXMLスキーマを定義します。SOAP XMLスキーマは、オブジェクトが直接通信する方法を定義します。これは質問が取り組んでいるものではありません。

#5. 次のうちリモートでイベントを記録する最も適切な理由はどれですか?

イベントログは通常、侵入者がトラックをカバーするために変更しようとする1つです。 イベントがローカルでのみ記録されている場合、これらのログが調査目的ではもはや有効であるとは考えられなくなります。

 

×:すべてのイベントのログをいくつかコピーする

イベントログの冗長性が役立つ場合でも、リモートでイベントを記録する主な理由は、改ざんされていないコピーが存在することを保証し、妥協の調査で有効なツールとなるためです。

 

×:単一のライトワンスメディアにログを簡単にバックアップするために

不変のメディアにログをバックアップすることは、多くの理由で重要なので重要ではありませんが、リモートで記録されたイベントは侵入者によって簡単に変更されないことが最善の方法です。

 

×:ログのレビューと分析を容易にする

真実であっても、この文脈では間違っています。 ログ集約は、事象のレビューを確実に促進し、侵入の検出と分析を支援します。 しかし、すべての侵入分析が変更されていない証拠に依存しているため、回答Aは依然として最も重要な理由です。

#6. 金銭的な動機による攻撃ではないだろうと考えられるものはどれですか?

分散型サービス停止(DDOS)攻撃は通常、攻撃者に金銭的な利益をもたらしません。多くの場合、復讐や組織の方針決定に同意しなかったり、攻撃者が組織に対する反感の大きさを証明したりする動機です。

 

他の人の正解率

#7. ブライアン氏は、同社の新しいアイデンティティ管理システムの仮想ディレクトリの作成を依頼されている。 次のうち仮想ディレクトリを最もよく表しているものはどれですか?

ネットワークディレクトリは、ユーザーとネットワークリソースのコンテナです。 1つのディレクトリには、エンタープライズ内のすべてのユーザーとリソースが含まれていないため、ディレクトリのコレクションを使用する必要があります。 仮想ディレクトリは、ネットワーク全体に散在するソースから使用される必要な情報を収集し、中央の仮想ディレクトリ(仮想コンテナ)に格納します。 これにより、企業全体のすべてのユーザーのデジタルID情報の統一されたビューが提供されます。 仮想ディレクトリはすべてのアイデンティティストア(個々のネットワークディレクトリ)と定期的に同期し、エンタープライズ内のすべてのアプリケーションとID管理コンポーネントによって最新の情報が確実に使用されていることを確認します。

 

×:メタディレクトリ

仮想ディレクトリはメタディレクトリに似ていますが、メタディレクトリは1つのディレクトリで動作し、仮想ディレクトリは複数のデータソースで動作するため、正しくありません。 アイデンティティ管理コンポーネントが仮想ディレクトリを呼び出すと、エンタープライズ全体で異なるディレクトリをスキャンすることができますが、メタディレクトリは関連付けられている1つのディレクトリをスキャンする機能しか持ちません。

 

×:HRデータベースに格納されているユーザー属性情報

IDストアを最もよく記述しているため正しくありません。 アイデンティティ管理ディレクトリに格納されている多くの情報は、企業全体に散在しています。 ユーザ属性情報(従業員ステータス、職務説明、部署など)は、通常、HRデータベースに格納されます。 認証情報はKerberosサーバーに存在する可能性があります。 役割とグループの識別情報がSQLデータベースに存在する可能性があります。 リソース指向の認証情報をドメインコントローラのActive Directoryに格納することができます。 これらは一般にアイデンティティストアと呼ばれ、ネットワーク上の別の場所に配置されています。 多くのID管理製品では、仮想ディレクトリを使用してこれらのIDストア内のデータを呼び出します。

 

×:管理者が識別の仕方を設定および管理できるサービス

ディレクトリサービスを記述しているため、間違っています。 ディレクトリサービスを使用すると、管理者は識別、認証、許可、およびアクセス制御がネットワーク内でどのように行われるかを構成および管理できます。 名前空間を使用してディレクトリ内のオブジェクトを管理し、アクセス制御およびID管理機能を実行することによって設定されたセキュリティポリシーを適用します。

#8. フリーウェアとシェアウェアの違いは何ですか?

フリーウェアとは、無料のソフトウェアであり、無料で使用できます。シェアウェアとは、最初は無料で使用することができる完全に機能するプロプライエタリソフトウェアです。多くの場合、ソフトウェアをテストするためのトライアルでは、30日後に使用を継続するには料金を支払う必要があります。

#9. ソフトウェア開発のための統合製品チーム(IPT)を採用したアプローチは、以下の目的のどれを達成するように設計されていますか?

開発と運用(DevOpsチーム)間の統合へのD.ザ・IPTのアプローチは、具体的には、開発チームは、デプロイメント環境にできるだけ近いとデプロイメント環境の運用必需品を理解した環境でソフトウェアを構築していることを確認するように設計されています。

 

×:開発と少数のセキュリティ上の欠陥を使用してソフトウェアをテストします。

すべての開発とテスト方法論は関係なく、かどうかIPTの、などの静的コードレビュー、リビジョン管理、職務の分離、として活用するツールやテクニックなど、ソフトウェア開発ライフサイクル(SDLC)を、確保するアプローチを採用する必要があるため、正しくありません。インフラストラクチャの一部です。

 

×:開発と少数の不良機能を備えたソフトウェアをテストします。

すべての開発環境は、テストハーネスおよび機能的特徴のための試験例並列構造を含める必要がありますので、間違っています。これらは、可能な限り自動化となり、リポジトリのチェックインとするたびに統合テストが行​​われた上で、モジュールごとの両方を実行する必要があります。

 

×:最も収益性の高いであろうソフトウェアの開発とテストします。

任意のソフトウェアプロジェクトの投資収益率(ROI)は、もちろん、最も重要であるため、正しくありませんが、それはD.に答える未満特異的であるため、この答えは不正解です

#10. クロスサイトスクリプティング(XSS)は、通常のWebアプリケーションに見られるアプリケーションのセキュリティの脆弱性です。被害者が機密情報を盗むために、不正なスクリプトを使用してプログラムされたURLを開くようにだまされているときにXSSの脆弱性はどのような種類の発生しますか?

XSS攻撃は、脆弱なWebページにその悪意のあるコードを注入する攻撃を可能にします。疑いを持たないユーザーが感染したページにアクセスすると、悪質なコードは、被害者のブラウザ上で実行され、盗まれたクッキーにつながる可能性があり、セッション、ブラウザの脆弱性を悪用するマルウェアの実行、またはバイパスアクセス制御や援助をハイジャック。そこに三つの異なるXSSの脆弱性がある:永続的、非永続は、およびDOMベース。(また、反射された脆弱性と呼ばれる)非永続的な脆弱性が発生した場合、攻撃者のトリックなどクッキーやセッションIDとして被害者の機密情報を盗むために不正なスクリプトを使用してプログラムされたURLを開くように被害者。この攻撃の背後にある原理は、動的なWebサイト上の適切な入力または出力の検証の欠如を活用することにあります。このようなXSS攻撃は、潜在的に巨大な規模での損傷を引き起こす可能性があります。盗まれたクッキーが侵害されたWebメールシステムにつながることができ、ブログに殺到し、銀行口座を開示しました。フィッシング攻撃のほとんどは、XSSの脆弱性によって引き起こされます。

 

×:永続的なXSSの脆弱性

永続的な脆弱性は、このようなフォーラムやメッセージボードのように、データベースまたは同様の場所に格納されたデータを入力するユーザー許可のウェブサイトをターゲットにされているため、正しくありません。このタイプの攻撃のためのコードは、サードパーティのWebサイトにユーザーを誘惑する必要なく、自動的にレンダリングすることができます。XSSの脆弱性を克服するための最良の方法は、セキュアプログラミングの実践を通してです。Webアプリケーション開発者は、すべてのユーザー入力がフィルタリングされることを確認する必要があります。既知およびセキュアな文字が限定セットは、ユーザの入力を許可する必要があります。

 

×:二次の脆弱性

二次の脆弱性は、データベースに格納された入力データにユーザーを可能にするウェブサイトをターゲットに永続的なXSSの脆弱性、別の名前であるため、正しくありません。

 

×:DOMベースの脆弱性

DOMベースのXSSの脆弱性で、攻撃者は、元のクライアント側のJavaScriptを変更するには、ドキュメントオブジェクトモデル(DOM)環境を使用しているため、正しくありません。これは、結果として不正なJavaScriptコードを実行するために、被害者のブラウザを引き起こします。したがって、クロスサイト攻撃は、被害者のウェブブラウザの脆弱性を悪用するために使用することができます。システムが正常に攻撃者により侵害されると、彼はさらに、ネットワーク上の他のシステムに侵入したり、内部ネットワークを介して広がることができるスクリプトを実行することができます。クライアント側としては、XSS攻撃を防ぐために最も効果的な方法は、ブラウザでスクリプト言語のサポートを無効にすることです。これが不可能な場合には、コンテンツフィルタリングプロキシサーバを使用することができます。

#11. 次のうちディレクトリサービスを正しく記述していないものはどれですか?

ほとんどの企業には、会社のネットワークリソースやユーザーに関する情報が含まれるディレクトリがあります。 ほとんどのディレクトリは、X.500標準(X.509ではなく)に基づく階層データベース形式と、LDAP(Lightweight Directory Access Protocol)のようなプロトコルの一種で、サブジェクトとアプリケーションがディレクトリとやりとりすることを可能にします。 アプリケーションは、ディレクトリへのLDAP要求を行うことによって特定のユーザーに関する情報を要求でき、ユーザーは同様の要求を使用して特定のリソースに関する情報を要求できます。 ディレクトリサービスは、LDAPによってアクセスされるX.500標準に基づくデータベース内の各オブジェクトに識別名(DN)を割り当てます。 各識別名は、特定のオブジェクトに関する属性の集合を表し、ディレクトリにエントリとして格納されます。

 

×:名前空間を使用してディレクトリ内のオブジェクトを管理します。

階層型データベース内のオブジェクトはディレクトリサービスによって管理されるため、正しくありません。 ディレクトリサービスを使用すると、管理者は識別、認証、許可、およびアクセス制御をネットワーク内でどのように行うかを設定および管理できます。 ディレクトリ内のオブジェクトは、ディレクトリサービスがオブジェクトを整理した状態に保つ方法である名前空間でラベル付けされ、識別されます。

 

×:アクセス制御とアイデンティティ管理機能を実行することにより、セキュリティポリシーを実施する。

ディレクトリサービスはアクセス制御とID管理機能を実行することで設定されたセキュリティポリシーを実施するため、正しくありません。 たとえば、ユーザーがWindows環境のドメインコントローラにログインすると、ディレクトリサービス(Active Directory)はアクセス可能なネットワークリソースとアクセスできないネットワークリソースを決定します。

 

×:管理者は、ネットワーク内で識別がどのように行われるかを構成および管理できます。

ディレクトリサービスは、管理者がネットワーク内での識別の設定および管理を可能にするため、正しくありません。 また、認証、認可、およびアクセス制御の構成と管理も可能です。

#12. メンテナンスホックを使用する適切な期間はどれか?

メンテナンスホックとは、開発者がテスト用に一時的に利用する機能やツールを指します。実際システム開発では、個々の機能が適切に動作しているかを確認するため、補助するツールを用意しています。ただ、メンテナンスホックを本稼働環境に置いておくと攻撃者に利用される可能性があるため、削除が求められます。

#13. ロバートは、重複や矛盾を最小限に抑えるためにデータを構造化する手順を実行することによって、販売データベースの全体的な効率を高めるよう求められています。これはどのような手順ですか?

正規化は、冗長性を排除してデータを効率的に整理し、データ操作中の異常の可能性を減らし、データベース内のデータの一貫性を向上させるプロセスです。データベース構造が望ましくない特性(挿入、更新、および削除の異常)を起こさないように正しく設計され、データの整合性が失われることを確実にする体系的な方法です。

 

×:多型

ポリモーフィズムは異なるオブジェクトに同じ入力が与えられ、異なる反応をするため、正しくありません。 ポリモーフィズムの単純な例として、3つの異なるオブジェクトが入力「Bob」を受け取ると仮定します。オブジェクトAはこの入力を処理し、出力「43歳の白い男性」を生成します。オブジェクトBは入力「Bob」を受け取り、 “Sallyの夫”を出力します。オブジェクトCは、 “Member of User group”という出力を生成します。各オブジェクトは同じ入力を受け取りましたが、異なる出力で応答しました。

 

×:データベースビューの実装

データベースビューは論理的なアクセス制御であり、あるグループまたは特定のユーザーが特定の情報を参照できるように実装されており、別のグループが完全に表示されないように制限されているため、正しくありません。 たとえば、企業全体の利益を見ることなく、ミドル・マネジメントが部門の利益と経費を見られるように、データベース・ビューを実装することができます。 データベースビューは重複データを最小化しません。 むしろ、特定のユーザー/グループによってデータがどのように表示されるかを操作します。

 

×:スキーマの構築

データベースシステムのスキーマは形式的な言語で記述された構造であるため、正しくありません。 リレーショナルデータベースでは、スキーマはテーブル、フィールド、リレーションシップ、ビュー、インデックス、プロシージャ、キュー、データベースリンク、ディレクトリなどを定義します。 スキーマはデータベースとその構造を記述しますが、そのデータベース自体に存在するデータは記述しません。 これは家の青写真に似ています。 青写真は、家に住む人々を説明することなく4つの部屋、6つのドア、12の窓などがあると述べることができる。

#14. ソフトウェア機能成熟度モデルにおいて、「一定の結果をもたらす再現可能プロセス」を提供するのはどのレベルですか?

ソフトウェア機能成熟度モデルのレベル2は、再現性を持ちます。一部のプロセスが再現可能であり、一定結果が得られる成熟度のレベルです。プロセスの規律が厳密ではないですが、既存のプロセスを維持するのに役立ちます。

#15. 次のうち、どのマークアップ言語がアプリケーションセキュリティポリシーの共有を許可して、すべてのアプリケーションが同じセキュリティルールに従っていることを保証しますか?

2つ以上の企業は、ID、認証、および認証方法を共有するように設定された信頼モデルを持つことができます。 つまり、自社のソフトウェアに対して認証を行う場合、このソフトウェアは認証パラメータをパートナーのソフトウェアに渡すことができます。 これにより、2回認証することなくパートナーのソフトウェアと対話できます。 これは、複数の組織が信頼モデルに基づいてアプリケーションセキュリティポリシーを共有できるXACML(Extensible Access Control Markup Language)を介して行われます。 XACMLはXMLで実装されたマークアップ言語と処理モデルです。 アクセス制御ポリシーを宣言し、アクセス制御ポリシーの解釈方法について説明します。

 

×:XML

XML(Extensible Markup Language)は、文書を電子的にコーディングし、Webサービスなどのデータ構造を表現するための方法であるため、正しくありません。 XMLはセキュリティ情報の共有には使用されません。 XMLは、従来のHTMLよりも堅牢なオープンスタンダードです。 マークアップ言語としての役割を果たすだけでなく、XMLは他の業界固有のXML標準の基盤としても機能します。 XMLを使用すると、企業はそれぞれのニーズを満たすマークアップ言語を使用しながら、相互に通信することができます。

 

×:SPML

サービス提供マークアップ言語(SPML)は、企業がアプリケーションセキュリティ情報ではなくユーザー、リソース、およびサービスのプロビジョニング情報を交換するために使用されるため、正しくありません。 SPMLは、OASISによって開発されたXMLベースのフレームワークで、Webポータルやアプリケーションサーバーなどのエンタープライズプラットフォームが、Webサービスやアプリケーションの安全で迅速なセットアップを目的として複数の企業にプロビジョニング要求を生成できるようにすることを目的としています。

 

×:GML

Generalized Markup Language(GML)が文書の書式設定のためにIBMによって作成されたメソッドであるため、正しくありません。 文書は、その部分(章、段落、リストなど)とその関係(見出しレベル)の観点から文書を記述します。 GMLは、SGML(Standard Generalized Markup Language)とHTML(Hypertext Markup Language)の前身でした。

#16. ドライブのミラーリングは、冗長性のために2つのドライブに同時にデータを書き込む場合です。 次の図には、どのようなタイプの技術が示されていますか?

常に利用可能であることが要求される情報は、ミラー化または二重化されている必要があります。 ミラーリング(RAID 1とも呼ばれます)とデュプレックスの両方で、すべてのデータ書き込み操作は、複数の物理的な場所で同時にまたはほぼ同時に行われます。 ミラーリングとデュプレックスの区別は、ミラーリングを行うと、データが書き込まれる2つ(またはそれ以上)の物理的な場所が同じコントローラに接続され、コントローラ自体が単一の障害点にさらされることがあります。 2つ以上のコントローラが使用されます。

 

×:ダイレクトアクセスストレージ

直接アクセスストレージは、従来、メインフレームおよびミニコンピュータ(ミッドレンジコンピュータ)環境で使用されてきた磁気ディスク記憶装置の一般用語であるため、間違っています。 独立ディスクの冗長アレイ(RAID)は、直接アクセス記憶装置(DASD)の一種である。

 

×:ストライピング

データがすべてのドライブに書き込まれると、ストライピングの技法が使用されるため、間違っています。 このアクティビティは、複数のドライブにデータを分割して書き出します。 書き込みパフォーマンスは影響を受けませんが、複数のヘッドが同時にデータを取得しているため、読み取りパフォーマンスが大幅に向上します。 パリティ情報は、紛失または破損したデータを再構築するために使用されます。 ストライピングは単にデータを意味し、パリティ情報は複数のディスクに書き込まれる可能性があります。

 

×:大量の非アクティブディスクアレイ

大容量の非アクティブディスク(MAID)のアレイでは、ラックマウント型ディスクアレイではすべての非アクティブディスクの電源が切断され、ディスクコントローラのみが稼動しているため、間違っています。 アプリケーションがデータを要求すると、コントローラは適切なディスクドライブの電源を投入し、データを転送した後、ドライブを再びパワーダウンします。 頻繁にアクセスされないドライブの電源を落とすことにより、エネルギー消費が大幅に削減され、ディスクドライブの耐用年数が増加する可能性があります。

#17. プログラマが注意する必要がある攻撃のいくつかの種類があります。次の図は、どのような攻撃を示しているのでしょうか?

緩衝液は、いくつかのユーザー入力のように、その中に何かを格納するために、アプリケーションによって予約領域です。アプリケーションが入力を受信した後、命令ポインタは、バッファに入れています入力して何かをするアプリケーションを指します。アプリケーションが誤って入力を行うにはどのようなプログラムを語ったコード内の命令ポインタを上書きし、入力の無効量は、バッファ領域に書き込むことを可能にする際にバッファオーバーフローが発生します。命令ポインタが上書きされると、どのようなコードバッファに置かれているが、すべてのアプリケーションのセキュリティコンテキストの下で、実行することができます。

 

×:トラフィック分析

トラフィック分析は、ネットワーク上のトラフィックパターンを見て情報を明らかにする方法であるため、Aが正しくありません。たとえば、人事部門と本社の間に大量のトラフィックは、今後のレイオフを示す可能性があります。もう一つの例は、2つの軍事ユニット間のトラフィックが多い場合、これは軍の攻撃が計画されていることを示す可能性があります。トラフィックパディングがトラフィックパターンを隠す、それはより困難にそれらを明らかにするために、ネットワークを介して送信されるデコイれた、この種の攻撃に対抗するために使用することができます。

 

×:レース条件

それは競合状態攻撃を示していないため、Bが間違っています。2つの異なるプロセスがリソースにそれらのタスクを実行する必要がある場合、それらは正しい順序に従うことを必要とします。プロセスは、一プロセス二つが同じリソースにアクセスし、そのタスクを実行する前にその作業を行う必要があります。プロセス2は、プロセス1の前に行けば、結果は非常に異なる可能性があります。攻撃者がプロセスを操作することができれば、プロセス2は、最初にそのことをしたように、彼女は競合状態攻撃と呼ばれる処理手順の結果を制御しています。

 

×:隠密ストレージ

隠れストレージチャネルにおいて、プロセスは、システム上のストレージスペースのいくつかのタイプを介して通信することが可能であるため、Cが正しくありません。例えば、システムAは、極悪非道な方法で、他のプロセスと通信することができますソフトウェアをインストールしたトロイの木馬に感染しています。システムAは、特定の攻撃者にとって大きな関心事である非常に敏感なファイル(ファイル2)を有しています。トロイの木馬がインストールされたソフトウェアは、このファイルを読み取ることができ、それは、一度に1つのビットを発生する可能性が攻撃者にファイルの内容を送信する必要があります。侵入型ソフトウェアは、特定のファイル(ファイル3)をロックすることによって、攻撃者と通信しようとしています。攻撃者がファイル3にアクセスしようとすると、それはそれで有効になってソフトウェアロックを持っていると認めるときは、攻撃者がこの機密ファイルに最初のビットを意味すると解釈し、攻撃者がファイル3にアクセスしようとする1秒の時間は、それはありませんロックされました。この値がゼロになるように、攻撃者が解釈します。機密ファイル内のすべてのデータが攻撃者に送信されるまでこれが続きます。

#18. 各フェーズが次のフェーズにつながり、前のフェーズに戻ることができないプロジェクト管理方法論はどれですか?

ウォーターフォールとは、非常に一方向的で各フェーズは次のフェーズに直接つながります。純粋なウォーターフォールモデルでは、前のフェーズに戻ることはできません。

#19. 第3世代のプログラミング言語に関連した長所と短所の正しい説明は次のうちどれですか?

第3世代のプログラミング言語は、以前の言語に比べて扱いやすいです。これは、プログラム開発時間を短縮し、簡略化されかつ迅速なデバッグが可能になります。しかし、第2世代プログラミング言語と比較した場合これらの言語は、リソースが集約されます。

×:ヒューリスティックな使用はプログラミングの労力を低減しますが、特定のタスクのためのマニュアルのコーディングの量は、前の世代よりも大きくなる傾向があります。

それは第4世代プログラミングの長所と短所を説明しようとしています。第4世代のプログラミング言語でのヒューリスティックな使用が大幅にプログラミングの労力とコード内のエラーの可能性を減少させたことは事実です。ただし、手動コーディングの量は、第3世代言語の必要とされるよりもあったことは事実ではありません。逆に、第4世代言語の最も特徴は、特定のタスクを実行するために必要な手動のコーディングの量が第3世代の言語で同じタスクよりも少なくてもよいということです。

 

×:バイナリを使用することで非常に時間がかかりましたが、エラーが少なくなっています。

機械語の説明であり、第1世代のプログラミング言語の長所と短所を暗示ため、正しくありません。

 

×:プログラミング処理時間を減少させることに貢献しますが、マシンアーキテクチャは必要な知識である。

第2世代のプログラミング言語を記述しているので正しくありません。これらの言語はマシンアーキテクチャの豊富な知識を必要とし、その中に書かれたプログラムは、特定のハードウェアのみになります。

#20. メアリーは、元のクライアント側のJavaスクリプトを修正することにより、ユーザーのクッキーを盗む悪質なコードを作成しています。彼女は、クロスサイトスクリプティングの脆弱性の種類を利用しているのですか?

メアリーは、ドキュメントオブジェクトモデル(DOM)は、ローカルクロスサイトスクリプティングと呼ばれるクロスサイトスクリプティング(XSS)の脆弱性を、ベース悪用されています。DOMは、ブラウザでHTMLやXML文書を表現するための標準的な構造のレイアウトです。このような攻撃では、そのようなフォームフィールドやクッキーなどのドキュメントのコンポーネントには、JavaScriptを介して参照することができます。攻撃者は、元のクライアント側のJavaScriptを変更するには、DOM環境を使用しています。これは、結果として不正なJavaScriptコードを実行するために、被害者のブラウザを引き起こします。これらの攻撃を防ぐために最も効果的な方法は、ブラウザでスクリプトサポートを無効にすることです。

 

×:2次

二次の脆弱性、または永続的なXSSの脆弱性は、このようなフォーラムやメッセージボードのように、データベースまたは他の場所に格納されているデータを入力するユーザー許可のウェブサイトをターゲットにされているため、正しくありません。二次の脆弱性は、攻撃の最も支配的なタイプを可能にします。

 

×:永続

永続的なXSSの脆弱性は、単に二次の脆弱性のために別の名前であるため、正しくありません。先に述べたように、これらの脆弱性は、オンラインフォーラムや掲示板などのデータベースまたは他の場所に格納された入力データをユーザーに許可します。プラットフォームのこれらのタイプは、最も一般的にXSSの脆弱性に悩まさの一つです。これらの脆弱性を克服するための最良の方法は、セキュアプログラミングの実践を通してです。それぞれ、すべてのユーザー入力をフィルタリングする必要があり、そして既知およびセキュアな文字が限定セットは、ユーザの入力を許可する必要があります。

 

×:非永続

反射脆弱性と呼ばれる非永続XSSの脆弱性は、(例えば、クッキーなど)被害者の機密情報を盗むために、不正なスクリプトを使用してプログラムされたURLを開くようにするとき、攻撃者のトリック被害者を発生するため、正しくありません。この攻撃の背後にある原理は、動的なWebサイト上の適切な入力または出力の検証の欠如を活用することにあります。

終了