ITパスポート試験 ITパスポート 2017年 (平成29年 秋期)91: クロスサイトスクリプティングなどの攻撃で,Cookieが漏えいすることによって受ける被害の例はどれか。

ITパスポート 2017年 (平成29年 秋期)
Q 9191 / 100
などの攻撃で,Cookieが漏えいすることによって受ける被害の例はどれか。
この問の正解率:73.06%(1,032件)

解説

ITパスポート 2017年 (平成29年 秋期) 問91「クロスサイトスクリプティングなどの攻撃で,Cookieが漏えいすることによって受…」の正解と解説です。ITパスポート試験の「テクノロジ系」分野の過去問で、これまでの受験者の正答率は約73%です。

正解

. Webサービスのアカウントを乗っ取られる。

正答率 73.1%(1,032人中 754人が正解)

問題の解説

クロスサイトスクリプティング(XSS,Cross-Site Scripting)はWebアプリケーションの脆弱性を突いて悪意のあるスクリプトを埋め込み,そのページを閲覧したユーザのブラウザ上で実行させる攻撃である。Cookieに含まれるセッションIDを盗まれると,攻撃者がそのセッションIDを使って被害者に成りすまし,Webサービスのアカウントを乗っ取ることができる。正解はウ。

選択肢ごとの解説

  • Cookie漏えいそのものでPCがウイルスに感染するわけではない。ウイルス感染は主に悪意のあるファイルのダウンロード・実行やドライブバイダウンロード等で発生する。Cookie漏えいの主要な被害はセッションハイジャックによるなりすましである。
  • PC内のファイルを外部に送信するのはトロイの木馬や情報搾取型マルウェアの典型的な被害形態であり,Cookie漏えいの直接的な結果とは言いにくい。Cookieはブラウザが管理する認証情報であり,ファイルシステム全体へのアクセスとは機能が異なる。
  • Cookieに保存されたセッションID(ログイン済みであることを示すトークン)を盗まれると,攻撃者はそのCookieを使って正規ユーザのふりをしてWebサービスにアクセスし,アカウント設定変更,購入,個人情報閲覧等を行えるようになる。正解。
  • 無線LANへの不正アクセスはWPA2の脆弱性や弱いパスワードなどを突いた攻撃で発生する。Cookie漏えいはWebアプリケーション層の問題であり,物理・データリンク層の無線LANセキュリティとは独立した問題。

ITパスポート 2017年 (平成29年 秋期) の過去問一覧に戻る・問91

ITパスポート試験 の iOS アプリ版

アプリ版なら、よりスムーズに動作し、
スワイプで問題遷移ができます。

ITパスポート試験 合格.dev を App Store でダウンロード