情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ 問1: クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
←情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ
攻撃の対策として,効果がないものはどれか。
0.00%
選択肢
- ア.Web サイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
- イ.Web サイトへのログイン後,毎回異なる値を HTTP レスポンスボディに含め,Web ブラウザからのリクエストごとに送付されるその値を,Web サーバ側で照合する。
- ウ.Web ブラウザからのリクエスト中の Referer によって正しいリンク元からの遷移であることを確認する。
- エ.Web ブラウザからのリクエストを Web サーバで受け付けた際に,リクエストに含まれる“<”,“”などの特殊文字を,“<”,“>”などの文字列に置き換える。
正解
エ. Web ブラウザからのリクエストを Web サーバで受け付けた際に,リクエストに含まれる“<”,“”などの特殊文字を,“<”,“>”などの文字列に置き換える。
解説
CSRFは利用者のログイン済みセッションを悪用し、本人の意図しない処理を勝手に実行させる攻撃。対策は「正規の画面からの操作か」を検証することで、ワンタイムトークンの照合・重要操作での再認証・Referer確認が有効。一方、エの特殊文字のエスケープはXSSやHTMLインジェクション対策であり、リクエストの正当性検証ではないためCSRFには効果がない。実務ではトークン方式を基本に据える。
選択肢ごとの解説
- ア.重要操作の都度パスワードを再入力させれば第三者の罠経由の処理を防げ、CSRF対策として有効。
- イ.毎回異なる値(トークン)を発行し送信値をサーバで照合する典型的なCSRF対策で有効。
- ウ.Refererで正しいリンク元からの遷移か確認するのは簡易だがCSRF対策として効果がある。
- エ.特殊文字のエスケープはXSS対策でリクエストの正当性は検証せず、CSRFには効果がなく正解。
情報処理安全確保支援士試験 令和6年度春期 午前Ⅱ の過去問一覧へ戻る・問1