情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問12: クロスサイトスクリプティングによる攻撃を防止する対策はどれか。
←情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ
による攻撃を防止する対策はどれか。
選択肢
- ア.WebサーバにSNMPエージェントを常駐稼働させ,Webサーバの負荷状態を監視する。
- イ.WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
- ウ.Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
- エ.Webサイトへの入力データを表示するときに,HTMLで特別な意味をもつ文字のエスケープ処理を行う。
正解
エ. Webサイトへの入力データを表示するときに,HTMLで特別な意味をもつ文字のエスケープ処理を行う。
解説
クロスサイトスクリプティング(XSS)は、利用者入力をWebページに出力する際に無害化せず、攻撃者の埋め込んだスクリプトが被害者のブラウザで実行される脆弱性。根本対策は、出力時に<,,&,"などHTMLで特別な意味をもつ文字をエスケープ(サニタイズ)すること。よってエが正しい。実務ではCookieのHttpOnly付与やCSPも併用し多層で防ぐ。
選択肢ごとの解説
- ア.SNMPによる負荷監視は可用性の運用監視であり、XSSの対策にはならず誤り。
- イ.OSのパッチ適用は重要だが、アプリの出力処理に起因するXSSの直接対策ではない。
- ウ.入力サイズ制限はバッファ系対策に寄与するが、XSSの本質的な防止策ではない。
- エ.出力時にHTML特殊文字をエスケープしてスクリプト実行を防ぐ点がXSS対策の正解。
情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ の過去問一覧へ戻る・問12