応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問41: クロスサイトスクリプティング対策に該当するものはどれか。

問題本文

クロスサイトスクリプティング対策に該当するものはどれか。

選択肢

• ア.Web サーバで SNMP エージェントを常時稼働させることによって，攻撃を検知する。
• イ.Web サーバの OS にセキュリティパッチを適用する。
• ウ.Web ページに入力されたデータの出力データが，HTML タグとして解釈されないように処理する。
• エ.許容量を超えた大きさのデータを Web ページに入力することを禁止する。

正解

ウ. Web ページに入力されたデータの出力データが，HTML タグとして解釈されないように処理する。

解説

クロスサイトスクリプティング(XSS)への対策を問う問題である。XSSは、利用者の入力値が検証されずにWebページへそのまま出力される脆弱性を突き、攻撃者が仕込んだ <script などのHTMLタグ・スクリプトを被害者のブラウザ上で実行させる攻撃である。したがって対策の本質は、入力データを出力する際に「<」を「&lt;」へ変換するなどして、HTMLタグやスクリプトとして解釈されない無害な文字列にすること(エスケープ処理／サニタイジング)であり、ウが該当する。

選択肢ごとの解説

• ア.SNMPはネットワーク機器の状態を監視・管理するためのプロトコルであり、攻撃検知の仕組みとしては不適切で、XSSのようなWebアプリ層の攻撃対策にはならない。
• イ.OSへのセキュリティパッチ適用はOSの既知の脆弱性をふさぐ一般的な対策だが、XSSはWebアプリケーションのプログラムが入力値を適切に処理していないことに起因するため、OSパッチでは防げない。
• ウ.正しい。入力データを出力する際にHTMLタグとして解釈されないようエスケープ処理することで、攻撃者が埋め込んだスクリプトの実行を防ぐ。これがXSSの代表的な対策である。
• エ.入力データの長さ制限はバッファオーバフロー対策などに有効だが、短い文字列でもスクリプトは埋め込めるため、XSS対策にはならない。