戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2015年 秋期 午前236

問題文

クロスサイトスクリプティングの手口に該当するものはどれか。

選択肢

攻撃者が、スクリプトを用いてWebサイトのOS コマンドを呼び出し、任意のファイルの読出しや変更・削除などの不正操作をする。
攻撃者が、スクリプトを用いて特定のPCへ大量に接続要求を送り出し、通信機能を停止させる。
攻撃者が用意したスクリプトでWebサイトのサービスポートに順次アクセスし、各ポートに対応するサービスに存在するセキュリティ上の弱点を探し出す。
攻撃者が用意したスクリプトを、閲覧者のWebブラウザを介して脆弱なWeb サイトに送り込み、閲覧者のWebブラウザ上でスクリプトを実行させる。(正解)

クロスサイトスクリプティングの手口に該当するものはどれか【午前2 解説】

要点まとめ

  • 結論:クロスサイトスクリプティング(XSS)は、攻撃者が悪意あるスクリプトを脆弱なWebサイトに送り込み、閲覧者のブラウザで実行させる攻撃手法です。
  • 根拠:XSSはWebサイトの入力欄などにスクリプトを埋め込み、閲覧者の環境で不正な動作を引き起こす点が特徴です。
  • 差がつくポイント:OSコマンドの直接操作や大量接続攻撃、ポートスキャンとは異なり、XSSは「閲覧者のブラウザ上でスクリプトを実行させる」ことに注目しましょう。

正解の理由

選択肢エは「攻撃者が用意したスクリプトを、閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み、閲覧者のWebブラウザ上でスクリプトを実行させる」とあり、XSSの定義に完全に合致します。XSSはサーバー側ではなく、閲覧者のブラウザでスクリプトが動作する点が重要です。

よくある誤解

XSSはサーバーのOSコマンドを直接操作する攻撃ではありません。また、DDoS攻撃やポートスキャンとは異なり、対象はWebサイトの閲覧者のブラウザです。

解法ステップ

  1. 問題文の「クロスサイトスクリプティング」の意味を確認する。
  2. 各選択肢の攻撃手法を理解し、XSSの特徴と照らし合わせる。
  3. 「閲覧者のブラウザでスクリプトを実行させる」点がある選択肢を探す。
  4. それが選択肢エであることを確認し、正解とする。

選択肢別の誤答解説

  • ア:OSコマンドを直接呼び出す攻撃は「OSコマンドインジェクション」などであり、XSSではありません。
  • イ:大量接続要求を送り通信を停止させるのは「DDoS攻撃」であり、XSSとは異なります。
  • ウ:サービスのポートにアクセスして脆弱性を探すのは「ポートスキャン」であり、XSSの手口ではありません。
  • :閲覧者のブラウザ上でスクリプトを実行させる点がXSSの特徴であり、正解です。

補足コラム

クロスサイトスクリプティングは、主に「反射型」「格納型」「DOMベース型」の3種類に分類されます。いずれも攻撃者が悪意あるスクリプトをWebページに埋め込み、閲覧者のブラウザで実行させることで情報漏洩やセッションハイジャックなどの被害を引き起こします。対策としては、入力値の適切なエスケープやコンテンツセキュリティポリシー(CSP)の導入が有効です。

FAQ

Q: クロスサイトスクリプティングはどのような被害をもたらしますか?
A: ユーザのクッキー情報の盗難やセッションの乗っ取り、偽の入力フォーム表示などの被害を引き起こします。
Q: XSSとSQLインジェクションの違いは何ですか?
A: XSSは閲覧者のブラウザ上でスクリプトを実行させる攻撃、SQLインジェクションはデータベースに不正なSQLを実行させる攻撃です。
関連キーワード: クロスサイトスクリプティング、XSS, Webセキュリティ、スクリプト攻撃、ブラウザセキュリティ
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について