情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問22: クロスサイトスクリプティングの手口はどれか。

問題本文

クロスサイトスクリプティングの手口はどれか。

選択肢

• ア.Webアプリケーションに用意された入力フィールドに，悪意のあるJavaScriptコードを含んだデータを入力する。
• イ.インターネットなどのネットワークを通じてサーバに不正にアクセスしたり，データの改ざんや破壊を行ったりする。
• ウ.大量のデータをWebアプリケーションに送ることによって，用意されたバッファ領域をあふれさせる。
• エ.パス名を推定することによって，本来は認証された後にしかアクセスが許可されないページに直接ジャンプする。

正解

ア. Webアプリケーションに用意された入力フィールドに，悪意のあるJavaScriptコードを含んだデータを入力する。

解説

クロスサイトスクリプティング（XSS）は，入力内容を適切に無害化していないWebアプリケーションの入力欄に悪意のあるスクリプトを仕込み，それが別の利用者のブラウザ上で実行されることで，情報窃取やセッション乗っ取りなどを引き起こす攻撃である。正解のアはこの手口を正しく述べている。

選択肢ごとの解説

• ア.入力フィールドに悪意のあるJavaScriptコードを入力して他の利用者のブラウザで実行させるのはXSSの手口であり正しい。
• イ.ネットワーク経由でサーバに不正アクセスし改ざん・破壊するのは不正アクセス全般の説明であり，XSS特有の手口ではないため誤り。
• ウ.大量データでバッファ領域をあふれさせるのはバッファオーバフロー攻撃であり，XSSではないため誤り。
• エ.パス名を推定して認証後ページに直接アクセスするのは強制ブラウジング（ディレクトリトラバーサル等）であり，XSSではないため誤り。