戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2013年 秋期 午前242

問題文

クロスサイトスクリプティングの手口はどれか。

選択肢

Webアプリケーションに用意された入力フィールドに、 悪意のある JavaScript コードを含んだデータを入力する。(正解)
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり、データの改ざん・破壊を行ったりする。
大量のデータを Webアプリケーションに送ることによって、用意されたバッファ領域をあふれさせる。
パス名を推定することによって、本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

クロスサイトスクリプティングの手口はどれか【午前2 解説】

要点まとめ

  • 結論:クロスサイトスクリプティング(XSS)は、悪意あるJavaScriptコードを入力フィールドに埋め込み実行させる攻撃手法です。
  • 根拠:XSSはWebアプリケーションの入力検証不足を突き、ユーザーのブラウザ上で不正スクリプトを動作させることが特徴です。
  • 差がつくポイント:ネットワーク攻撃やバッファオーバーフローなど他の攻撃手法と混同せず、スクリプトの埋め込みと実行に注目しましょう。

正解の理由

選択肢アは、Webアプリケーションの入力フィールドに悪意のあるJavaScriptコードを含むデータを入力し、ユーザーのブラウザでそのスクリプトを実行させる攻撃を示しています。これはXSSの典型的な手口であり、ユーザーのクッキー情報の窃取や画面の改ざんなどを引き起こします。したがって、正解はです。

よくある誤解

XSSはサーバへの不正アクセスやバッファオーバーフローとは異なり、主にユーザーのブラウザ上でスクリプトを実行させる攻撃です。これらを混同しないよう注意が必要です。

解法ステップ

  1. 問題文の「クロスサイトスクリプティング」の意味を確認する。
  2. XSSは「悪意あるスクリプトをWebページに埋め込み、ユーザーのブラウザで実行させる攻撃」と理解する。
  3. 選択肢の内容をXSSの定義と照らし合わせる。
  4. 悪意のあるJavaScriptコードを入力フィールドに入れる攻撃がXSSであることを確認。
  5. 他の選択肢は別の攻撃手法であるため除外する。

選択肢別の誤答解説

  • イ:サーバへの不正アクセスやデータ改ざんは侵入攻撃であり、XSSとは異なります。
  • ウ:バッファオーバーフロー攻撃はメモリ領域の破壊を狙うもので、XSSとは攻撃対象が異なります。
  • エ:パス名推定による認証回避はディレクトリトラバーサルや認証バイパス攻撃であり、XSSではありません。

補足コラム

クロスサイトスクリプティングは大きく「反射型」「格納型」「DOMベース」の3種類に分類されます。いずれもユーザーのブラウザで悪意あるスクリプトを実行させる点は共通しています。対策としては入力値の適切なエスケープやコンテンツセキュリティポリシー(CSP)の導入が有効です。

FAQ

Q: クロスサイトスクリプティングはどのように防止できますか?
A: 入力値のエスケープ処理やホワイトリストによる検証、CSPの設定が効果的です。
Q: XSS攻撃で盗まれる情報には何がありますか?
A: クッキー情報やセッションID、ユーザーの個人情報などが狙われます。
関連キーワード: クロスサイトスクリプティング、XSS, Webセキュリティ、JavaScript, 入力検証、攻撃手法
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について