情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ 問13: クロスサイトスクリプティング対策に該当するものはどれか。
←情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ
対策に該当するものはどれか。
選択肢
- ア.WebサーバでSNMPエージェントを常時稼働させることによって,攻撃を検知する。
- イ.WebサーバのOSにセキュリティパッチを適用する。
- ウ.Webページに入力されたデータの出力データが,HTMLタグとして解釈されないように処理する。
- エ.許容量を超えた大きさのデータをWebページに入力することを禁止する。
正解
ウ. Webページに入力されたデータの出力データが,HTMLタグとして解釈されないように処理する。
解説
クロスサイトスクリプティング(XSS)は、利用者入力に含まれるスクリプトがWebページにそのまま出力され、閲覧者のブラウザで実行される脆弱性。対策の中核は、出力時に<やなどをエスケープしHTMLタグやスクリプトとして解釈されないようにすること(出力時サニタイズ)で、ウが正解。実務では出力エンコードの徹底に加え、Content-Security-Policy等の多層的対策も併用する。
選択肢ごとの解説
- ア.SNMPエージェントは機器監視の仕組みで、XSSの検知や防止には直接寄与せず誤り。
- イ.OSへのパッチ適用は重要だが、アプリの出力処理に起因するXSSの対策にはならず誤り。
- ウ.出力データをHTMLタグとして解釈されないよう処理することがXSS対策の本質で正しい。
- エ.入力長制限はバッファ系の対策で、スクリプト混入を防ぐXSS対策にはならず誤り。
情報処理安全確保支援士試験 平成30年度秋期 午前Ⅰ の過去問一覧へ戻る・問13