基本情報技術者試験 ap-2018h30h-a 午前 問37: クロスサイトスクリプティングの手口はどれか。

問題本文

クロスサイトスクリプティングの手口はどれか。

選択肢

• ア.Web アプリケーションのフォームの入力フィールドに，悪意のある JavaScript コードを含んだデータを入力する。
• イ.インターネットなどのネットワークを通じてサーバに不正にアクセスしたり，データの改ざんや破壊を行ったりする。
• ウ.大量のデータを Web アプリケーションに送ることによって，用意されたバッファ領域をあふれさせる。
• エ.パス名を推定することによって，本来は認証された後にしかアクセスが許可されないページに直接ジャンプする。

正解

ア. Web アプリケーションのフォームの入力フィールドに，悪意のある JavaScript コードを含んだデータを入力する。

解説

クロスサイトスクリプティング(XSS)は、入力内容をそのままWebページに表示してしまう脆弱性を悪用し、フォームなどに悪意のあるスクリプト(JavaScriptコード)を含むデータを入力して、それを閲覧した別の利用者のブラウザ上で実行させる攻撃である。これを述べたアが正解。対策はサニタイジング(無害化、エスケープ処理)。

選択肢ごとの解説

• ア.入力フィールドに悪意のあるJavaScriptコードを入力し、他の利用者のブラウザで実行させるというXSSの手口として正しい。
• イ.ネットワーク経由でサーバに不正アクセスし改ざん・破壊する行為は不正アクセス全般の説明であり、XSS特有の手口ではない。
• ウ.大量データでバッファ領域をあふれさせるのはバッファオーバフロー攻撃の説明であり、XSSではない。
• エ.パス名を推測して認証後のページへ直接ジャンプするのは強制ブラウジング(ディレクトリ/ファイルの不正参照)に関する手口であり、XSSではない。