情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ 問12: クロスサイトスクリプティングの手口はどれか。
←情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ
の手口はどれか。
選択肢
- ア.Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
- イ.インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする。
- ウ.大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
- エ.パス名を推定することによって,本来は認証された後にしかアクセスが許可されないページに直接ジャンプする。
正解
ア. Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
解説
クロスサイトスクリプティング(XSS)は、入力値を適切にエスケープしない脆弱なWebアプリに悪意のスクリプトを注入し、それを別の利用者のブラウザ上で実行させる攻撃。入力フィールドに悪意のJavaScriptを入れるアが手口として正解。Cookie窃取やなりすましにつながり、対策は出力時のエスケープやCSP導入が基本。
選択肢ごとの解説
- ア.入力フィールドに悪意のJavaScriptを注入する記述がXSSの手口そのもので正解。
- イ.サーバへの不正アクセスや改ざん全般の説明で、XSS特有の手口ではなく誤り。
- ウ.大量データでバッファをあふれさせるのはバッファオーバーフローの説明で誤り。
- エ.パス名推定で認証後ページへ直接ジャンプするのは強制ブラウジング等の説明で誤り。
情報処理安全確保支援士試験 平成30年度春期 午前Ⅰ の過去問一覧へ戻る・問12