ITパスポート試験 過去問解説
クロスサイトスクリプティングとは?ITパスポート試験 2017年 (平成29年 秋期) 問91を解説
ITパスポート試験 2017年 (平成29年 秋期) 問91は、クロスサイトスクリプティングに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- クロスサイトスクリプティングの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: クロスサイトスクリプティング、Cookie。
選択肢
- アPCがウイルスに感染する。
- イPC内のファイルを外部に送信される。
- ウWebサービスのアカウントを乗っ取られる。正解
- エ無線LANを介してネットワークに侵入される。
正解
ウ: Webサービスのアカウントを乗っ取られる。
解説
なぜ他の選択肢が違うのか
ア
Cookie漏えいそのものでPCがウイルスに感染するわけではない。ウイルス感染は主に悪意のあるファイルのダウンロード・実行やドライブバイダウンロード等で発生する。Cookie漏えいの主要な被害はセッションハイジャックによるなりすましである。
イ
PC内のファイルを外部に送信するのはトロイの木馬や情報搾取型マルウェアの典型的な被害形態であり,Cookie漏えいの直接的な結果とは言いにくい。Cookieはブラウザが管理する認証情報であり,ファイルシステム全体へのアクセスとは機能が異なる。
ウ(正解)
Cookieに保存されたセッションID(ログイン済みであることを示すトークン)を盗まれると,攻撃者はそのCookieを使って正規ユーザのふりをしてWebサービスにアクセスし,アカウント設定変更,購入,個人情報閲覧等を行えるようになる。正解。
エ
無線LANへの不正アクセスはWPA2の脆弱性や弱いパスワードなどを突いた攻撃で発生する。Cookie漏えいはWebアプリケーション層の問題であり,物理・データリンク層の無線LANセキュリティとは独立した問題。
解き方の整理
クロスサイトスクリプティングの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連用語
関連問題
前後の問題
2017年 (平成29年 秋期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。