選択肢
- ア.Webサイトに入力されたデータに含まれる悪意あるスクリプトを,そのままWebブラウザに送ってしまうという脆弱性を利用する。
- イ.入力されたデータの長さをチェックしていないWebサイト上のアプリケーションに対し,長すぎるデータを送りつける。
- ウ.有用なソフトウェアに見せかけて利用者にインストールさせ,コンピュータに侵入する。
- エ.ワープロソフトや表計算ソフトの操作手順を記録し,呼び出して実行する機能を不正に利用する。
正解
ア. Webサイトに入力されたデータに含まれる悪意あるスクリプトを,そのままWebブラウザに送ってしまうという脆弱性を利用する。
解説
正解はア.クロスサイトスクリプティング(XSS:Cross-Site Scripting)はWebサイト(掲示板やコメント欄など)に悪意ある攻撃者がスクリプト(JavaScript等)を含む入力を投稿し,Webサイト側がエスケープせずにそのままHTMLに埋め込んで他の利用者のブラウザに送信してしまうことで,意図しないスクリプトが実行される脆弱性.Cookie盗取・偽ページ表示等を引き起こす.長すぎる入力でメモリを破壊するのはバッファオーバーフロー,有用ソフトに見せかける攻撃はトロイの木馬,マクロ機能の悪用はマクロウイルスで,それぞれ別の攻撃.
選択肢ごとの解説
- ア.正解.Webサイトへの入力に含まれる悪意あるスクリプトをそのままブラウザに送ってしまう脆弱性を利用するのがXSSの特徴.エスケープ処理の不備が原因で,Cookie盗取や偽ページ表示などの被害につながる典型的なWeb脆弱性.選択肢の特徴を理解すれば即答できる典型問題.
- イ.入力長さチェックなしで長すぎるデータを送りつけて領域を溢れさせる攻撃はバッファオーバーフロー(BOF)攻撃.メモリ領域の破壊で任意コード実行を狙う攻撃で,XSSとはまったく別種の脆弱性悪用パターンとなる.設問の主題と異なる領域の概念で答えにならない.
- ウ.有用なソフトウェアに見せかけて利用者にインストールさせ侵入するのはトロイの木馬(Trojan Horse).社会工学的に騙して導入させる攻撃でXSSとは手口が異なる.マルウェアの分類の一種で別の攻撃カテゴリ.用語の定義を取り違えやすい紛らわしい選択肢.
- エ.ワープロ・表計算ソフトのマクロ機能を不正利用するのはマクロウイルス.Office文書のマクロに悪意あるコードを仕込んで自動実行させる感染型マルウェアで,Web脆弱性を狙うXSSとは攻撃の場が異なる別種類の攻撃.対象や目的が設問の条件と異なるため不適切.
ITパスポート 2012年 (平成24年 秋期) の過去問一覧へ戻る・問60