情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問10: クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
←情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ
攻撃の対策として,効果がないものはどれか。
選択肢
- ア.Web サイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
- イ.Web サイトへのログイン後,毎回異なる値を HTTP レスポンスに含め,Web ブラウザからのリクエストごとに送付されるその値を,Web サーバ側で照合する。
- ウ.Web ブラウザからのリクエスト中の Referer によって正しいリンク元からの遷移であることを確認する。
- エ.Web ブラウザからのリクエストを Web サーバで受け付けた際に,リクエストに含まれる“<”や“”などの特殊文字を,タグとして認識されない“<”や“>”などの文字列に置き換える。
正解
エ. Web ブラウザからのリクエストを Web サーバで受け付けた際に,リクエストに含まれる“<”や“”などの特殊文字を,タグとして認識されない“<”や“>”などの文字列に置き換える。
解説
CSRFは、ログイン済み利用者のブラウザに意図しないリクエストを送らせ、本人の権限で不正操作させる攻撃。対策は正規遷移の確認で、トークン照合・再認証・Referer確認が有効。エの特殊文字エスケープはXSS(クロスサイトスクリプティング)対策でありCSRFには効果がないため、効果がないものはエ。実務ではCSRFトークンの実装が定番の防御策。
選択肢ごとの解説
- ア.重要操作時に都度パスワードを再入力させると攻撃者の自動リクエストを防げるためCSRF対策として有効。
- イ.毎回異なる値(トークン)を発行しサーバで照合するのは典型的なCSRF対策で有効。
- ウ.Refererで正しいリンク元からの遷移かを確認するのはCSRF対策として有効。
- エ.特殊文字のエスケープはXSS対策でありCSRFには効果がないため、これが正解(効果がないもの)。
情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ の過去問一覧へ戻る・問10