応用情報技術者 2018年 秋期 午前2 問41
問題文
クロスサイトスクリプティング対策に該当するものはどれか。
選択肢
ア:WebサーバでSNMPエージェントを常時稼働させることによって、 攻撃を検知する。
イ:WebサーバのOSにセキュリティパッチを適用する。
ウ:Webページに入力されたデータの出力データが、 HTML タグとして解釈されないように処理する。(正解)
エ:許容量を超えた大きさのデータを Webページに入力することを禁止する。
クロスサイトスクリプティング対策に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:クロスサイトスクリプティング(XSS)対策は、入力データをHTMLタグとして解釈させないように処理することが重要です。
- 根拠:XSSは悪意あるスクリプトをWebページに埋め込み、利用者のブラウザで実行させる攻撃手法だからです。
- 差がつくポイント:単にOSのパッチ適用やサーバ監視ではXSSを防げず、入力値の適切なエスケープ処理が必須である点を理解しましょう。
正解の理由
選択肢ウ「Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する」は、XSS対策の基本です。
XSS攻撃は、ユーザ入力をそのままHTMLに埋め込むことでスクリプトが実行されるため、タグやスクリプトを無効化するエスケープ処理が必要です。
これにより、悪意あるスクリプトがブラウザで実行されるのを防ぎます。
XSS攻撃は、ユーザ入力をそのままHTMLに埋め込むことでスクリプトが実行されるため、タグやスクリプトを無効化するエスケープ処理が必要です。
これにより、悪意あるスクリプトがブラウザで実行されるのを防ぎます。
よくある誤解
- OSのセキュリティパッチ適用は重要ですが、XSSの直接的な対策にはなりません。
- SNMPエージェントの稼働は監視目的であり、XSSの防止策ではありません。
解法ステップ
- 問題文の「クロスサイトスクリプティング対策」に注目する。
- XSSの攻撃手法を理解し、どの対策が有効かを考える。
- 選択肢を一つずつ検討し、XSS防止に直接関係するものを選ぶ。
- 入力データのHTML解釈を防ぐ処理が正解と判断する。
選択肢別の誤答解説
- ア:SNMPエージェントはネットワーク監視用であり、XSS攻撃の検知や防止には無関係です。
- イ:OSのセキュリティパッチはシステムの脆弱性対策ですが、XSSはWebアプリケーションレベルの問題です。
- ウ:正解。入力データをHTMLタグとして解釈させない処理はXSS対策の基本です。
- エ:入力データのサイズ制限はDoS攻撃対策にはなるものの、XSSの防止には直接効果がありません。
補足コラム
クロスサイトスクリプティング(XSS)は、Webアプリケーションの脆弱性の一つで、ユーザが入力した悪意あるスクリプトが他の利用者のブラウザで実行される攻撃です。
対策としては、入力値のエスケープ処理やコンテンツセキュリティポリシー(CSP)の導入が効果的です。
また、フレームワークによっては自動的にエスケープ処理を行う機能もあります。
対策としては、入力値のエスケープ処理やコンテンツセキュリティポリシー(CSP)の導入が効果的です。
また、フレームワークによっては自動的にエスケープ処理を行う機能もあります。
FAQ
Q: XSS対策においてエスケープ処理とは何ですか?
A: HTMLの特殊文字(<、>、&、"など)を文字実体参照に変換し、タグとして解釈されないようにする処理です。
A: HTMLの特殊文字(<、>、&、"など)を文字実体参照に変換し、タグとして解釈されないようにする処理です。
Q: OSのセキュリティパッチはXSS対策になりますか?
A: いいえ。OSのパッチはシステムの脆弱性を修正しますが、XSSはWebアプリケーションの問題なので直接の対策にはなりません。
A: いいえ。OSのパッチはシステムの脆弱性を修正しますが、XSSはWebアプリケーションの問題なので直接の対策にはなりません。
関連キーワード: クロスサイトスクリプティング、XSS対策、エスケープ処理、Webセキュリティ、入力値検証
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!