●ファジングとは
ソフトウェアの脆弱性を発見するために、故意に大量の異常系データを送り込むテスト。
●出題された回(平成29年度春期以降)
令和4年度春期/令和元年度秋期/平成30年度秋期/平成30年度春期
ファジングの説明
ファジングとは、ソフトウェアの脆弱性を発見するための手法の1つで、ファズと呼ばれる大量の異常系データをソフトウェアに送り込み、その時の挙動を確認することでテストを行います。
過去問
応用情報技術者 午前試験
令和4年度春期問45、令和元年度秋期問44、平成30年度春期問42
ファジングに該当するものはどれか。
ア サーバにFINパケットを送信し、サーバからの応答を観測して、稼働しているサービスを見つけ出す。
イ サーバのOSやアプリケーションソフトウェアが生成したログやコマンド履歴などを解析して、ファイルサーバに保存されているファイルの改ざんを検知する。
ウ ソフトウェアに、問題を引き起こしそうな多様なデータを入力し、挙動を監視して、脆弱性を見つけ出す。
エ ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダやペイロードを解析して、あらかじめ登録された攻撃パターンと一致するものを検出する。
正解は”ウ”
ソフトウェアに大量の異常データを入力して脆弱性を発見するのがファジングです。よって、”ウ”が正解です。
応用情報技術者 午前試験
平成30年度秋期問43
脆弱性検査手法の一つであるファジングはどれか。
ア 既知の脆弱性に対するシステムの対応状況に注目し、システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
イ ソフトウェアのデータの入出力に注目し、問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し、脆弱性を見つける。
ウ ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し、ソフトウェアの脆弱性の検査を行う。
エ ホワイトボックス検査の一つであり、ソフトウェアの内部構造に注目し、ソースコードの構文をチェックすることによって脆弱性を見つける。
正解は”イ”
ソフトウェアに大量の異常データを入力して脆弱性を発見するのがファジングです。よって、”イ”が正解です。
