情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度春期 午前 問21: クロスサイトスクリプティングに該当するものはどれか。

問題本文

クロスサイトスクリプティングに該当するものはどれか。

選択肢

• ア.Web アプリケーションのデータ操作言語の呼出し方に不備がある場合に，攻撃者が悪意をもって構成した文字列を入力することによって，データベースのデータの不正な取得，改ざん及び削除を可能とする。
• イ.Web サイトに対して，他のサイトを介して大量のパケットを送り付け，そのネットワークトラフィックを異常に高めてサービスを提供不能にする。
• ウ.確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって，プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする。
• エ.攻撃者が罠を仕掛けた Web ページを利用者が閲覧し，当該ページ内のリンクをクリックしたときに，不正スクリプトを含む文字列が脆弱な Web サーバに送り込まれ，レスポンスに埋め込まれた不正スクリプトの実行によって，情報漏えいをもたらす。

正解

エ. 攻撃者が罠を仕掛けた Web ページを利用者が閲覧し，当該ページ内のリンクをクリックしたときに，不正スクリプトを含む文字列が脆弱な Web サーバに送り込まれ，レスポンスに埋め込まれた不正スクリプトの実行によって，情報漏えいをもたらす。

解説

クロスサイトスクリプティング（XSS）は，入力値の検証が不十分な脆弱な Web サイトに不正なスクリプトを送り込み，それが応答ページに埋め込まれて利用者のブラウザ上で実行されることで情報漏えいなどを引き起こす攻撃である。罠ページ経由で不正スクリプトがレスポンスに埋め込まれ実行される過程を述べたエが正解である。

選択肢ごとの解説

• ア.データ操作言語（SQL）の呼出し不備を突いてデータベースを不正操作する攻撃は SQL インジェクションの説明であり，XSS ではない。
• イ.他サイトを介して大量パケットを送りサービスを提供不能にするのは DDoS（分散サービス妨害）攻撃の説明である。
• ウ.確保したメモリ空間の境界を超える書込み・読出しでコードを実行させるのはバッファオーバフロー攻撃の説明である。
• エ.不正スクリプトが脆弱な Web サーバの応答に埋め込まれブラウザ上で実行され情報漏えいを招くのが XSS であり，正しい。