問題本文
クロスサイトスクリプティングとは,Webサイトの脆弱性を利用した攻撃である。クロスサイトスクリプティングに関する記述として,適切なものはどれか。
選択肢
- ア.Webページに,ユーザの入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込むことでクッキーなどのデータを盗み出す。
- イ.サーバとクライアント間の正規のセッションに割り込んで,正規のクライアントに成りすますことで,サーバ内のデータを盗み出す。
- ウ.データベースに連携しているWebページのユーザ入力領域に悪意あるSQLコマンドを埋め込み,サーバ内のデータを盗み出す。
- エ.電子メールを介して偽のWebサイトに誘導し,個人情報を盗み出す。
正解
ア. Webページに,ユーザの入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込むことでクッキーなどのデータを盗み出す。
解説
XSS(Cross Site Scripting, クロスサイトスクリプティング)はユーザ入力をそのまま表示するWeb脆弱性に悪意あるスクリプトを埋込みクッキー等を窃取する攻撃.
選択肢ごとの解説
- ア.正しい. ユーザ入力をそのまま表示する脆弱性を突くのがXSS.
- イ.セッションハイジャックの説明でXSSではないものである.
- ウ.SQLインジェクションの説明でXSSではない別の攻撃手法.
- エ.フィッシングの説明でXSSではないものである別攻撃.
ITパスポート 2012年 (平成24年 春期) の過去問一覧へ戻る・問77