情報セキュリティマネジメント試験 過去問解説
クロスサイトスクリプティングとは?情報セキュリティマネジメント試験 平成28年度春期 午前 問21を解説
情報セキュリティマネジメント試験 平成28年度春期 午前 問21は、クロスサイトスクリプティングに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
クロスサイトスクリプティングに該当するものはどれか。
この問題の出題ポイント
- クロスサイトスクリプティングの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アWeb アプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除を可能とする。
- イWeb サイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする。
- ウ確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする。
- エ攻撃者が罠を仕掛けた Web ページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱な Web サーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。正解
正解
エ: 攻撃者が罠を仕掛けた Web ページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱な Web サーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。
解説
クロスサイトスクリプティング(XSS)は,入力値の検証が不十分な脆弱な Web サイトに不正なスクリプトを送り込み,それが応答ページに埋め込まれて利用者のブラウザ上で実行されることで情報漏えいなどを引き起こす攻撃である。罠ページ経由で不正スクリプトがレスポンスに埋め込まれ実行される過程を述べたエが正解である。
なぜ他の選択肢が違うのか
ア
データ操作言語(SQL)の呼出し不備を突いてデータベースを不正操作する攻撃は SQL インジェクションの説明であり,XSS ではない。
イ
他サイトを介して大量パケットを送りサービスを提供不能にするのは DDoS(分散サービス妨害)攻撃の説明である。
ウ
確保したメモリ空間の境界を超える書込み・読出しでコードを実行させるのはバッファオーバフロー攻撃の説明である。
エ(正解)
不正スクリプトが脆弱な Web サーバの応答に埋め込まれブラウザ上で実行され情報漏えいを招くのが XSS であり,正しい。
解き方の整理
クロスサイトスクリプティングの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
平成28年度春期 午前 の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。