ITパスポート 2015年 (平成27年 春期) 問84「クロスサイトスクリプティングに関する記述として,適切なものはどれか。…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約66%です。
正解
ア. Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
正答率 65.8%(1,056人中 695人が正解)
問題の解説
正答はア. クロスサイトスクリプティング (XSS, Cross-Site Scripting) は, Webサイトの脆弱性を突いて運営者が意図しない悪意あるスクリプト (JavaScript等) を含むデータを利用者のブラウザに送ってしまう攻撃. 攻撃者は掲示板や検索フォーム等に悪意あるスクリプトを埋め込み, 他の利用者のブラウザで実行させセッションクッキー窃取等を行う. 類似攻撃=OSコマンドインジェクション (OSコマンド埋め込み), パスワードリスト攻撃 (使い回し悪用), トロイの木馬 (有用に見せかけて侵入) と区別する.
選択肢ごとの解説
- Webサイト運営者が意図しないスクリプトを含むデータでも利用者のブラウザに送ってしまう脆弱性を利用するのがクロスサイトスクリプティング (XSS) の説明そのもので問題文に完全合致する正答. 入力検証不備が原因. 試験頻出概念で確実な理解が必要となる選択肢である.
- Webページ入力項目にOSの操作コマンドを埋め込んでサーバに送信しサーバを不正に操作するのはOSコマンドインジェクション攻撃の説明であり, クロスサイトスクリプティングとは別の攻撃手法で混同しないこと. 試験頻出概念で確実な理解が必要となる選択肢である.
- 複数Webサイトに対しログインIDとパスワードを同じものに設定する利用者の習性を悪用するのはパスワードリスト攻撃 (リスト型攻撃) の説明であり, クロスサイトスクリプティングとは別の攻撃手法で誤り. 試験頻出概念で確実な理解が必要となる選択肢である.
- 利用者に有用なソフトウェアと見せかけて悪意あるソフトウェアをインストールさせ利用者のコンピュータに侵入するのはトロイの木馬の説明であり, XSSとは別のマルウェア手法で混同しないこと. 別概念である. 試験頻出概念で確実な理解が必要となる選択肢である.
ITパスポート 2015年 (平成27年 春期) の過去問一覧に戻る・問84