応用情報技術者 2018年 春期 午前2 問37
問題文
クロスサイトスクリプティングの手口はどれか。
選択肢
ア:Webアプリケーションのフォームの入力フィールドに、悪意のある JavaScriptコードを含んだデータを入力する。(正解)
イ:インターネットなどのネットワークを通じてサーバに不正にアクセスしたり、データの改ざんや破壊を行ったりする。
ウ:大量のデータを Webアプリケーションに送ることによって、用意されたバッファ領域をあふれさせる。
エ:パス名を推定することによって、本来は認証された後にしかアクセスが許可されないページに直接ジャンプする。
クロスサイトスクリプティングの手口はどれか【午前2 解説】
要点まとめ
- 結論:クロスサイトスクリプティング(XSS)は、Webアプリの入力フォームに悪意あるJavaScriptコードを埋め込む攻撃手法です。
- 根拠:XSSはユーザーのブラウザ上でスクリプトを実行させ、情報漏洩やセッション乗っ取りを狙います。
- 差がつくポイント:攻撃の特徴を正確に理解し、他の攻撃手法(不正アクセスやバッファオーバーフロー)と区別できることが重要です。
正解の理由
ア: Webアプリケーションのフォームの入力フィールドに、悪意のある JavaScriptコードを含んだデータを入力する。
これはXSSの典型的な手口で、ユーザーが入力したスクリプトがそのままWebページに反映され、他の利用者のブラウザで実行されます。これにより、クッキーの盗難や画面の改ざんなどが可能になります。
これはXSSの典型的な手口で、ユーザーが入力したスクリプトがそのままWebページに反映され、他の利用者のブラウザで実行されます。これにより、クッキーの盗難や画面の改ざんなどが可能になります。
よくある誤解
XSSはサーバへの不正アクセスやバッファオーバーフローとは異なり、主にクライアント側でスクリプトを実行させる攻撃です。単なる不正アクセスやパス推測とは混同しやすいので注意が必要です。
解法ステップ
- 問題文の「クロスサイトスクリプティング」の意味を確認する。
- XSSは「悪意あるスクリプトをWebページに埋め込む攻撃」であることを思い出す。
- 選択肢を一つずつ読み、スクリプト埋め込みに該当するものを探す。
- アが該当し、他は不正アクセスやバッファオーバーフローなど別の攻撃手法であると判断する。
- よってアが正解と確定する。
選択肢別の誤答解説
- イ: 不正アクセスやデータ改ざんはハッキング行為であり、XSSとは異なります。
- ウ: バッファオーバーフロー攻撃はメモリ領域の溢れを狙うもので、XSSとは攻撃対象が異なります。
- エ: パス推測によるアクセスは認証回避の手法であり、XSSの定義には該当しません。
補足コラム
クロスサイトスクリプティングは主に「反射型」「格納型」「DOMベース」の3種類に分類されます。対策としては、入力値の適切なエスケープやコンテンツセキュリティポリシー(CSP)の導入が効果的です。
FAQ
Q: XSS攻撃はどのような被害をもたらしますか?
A: ユーザーのクッキー情報の盗難、セッションハイジャック、画面の改ざんなどが主な被害です。
A: ユーザーのクッキー情報の盗難、セッションハイジャック、画面の改ざんなどが主な被害です。
Q: XSSとSQLインジェクションの違いは何ですか?
A: XSSはクライアント側でスクリプトを実行させる攻撃、SQLインジェクションはサーバのデータベース操作を不正に行う攻撃です。
A: XSSはクライアント側でスクリプトを実行させる攻撃、SQLインジェクションはサーバのデータベース操作を不正に行う攻撃です。
関連キーワード: クロスサイトスクリプティング、XSS, Webセキュリティ、JavaScript, 攻撃手法、セキュリティ対策
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!