FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:XSS(クロスサイトスクリプティング)の説明はどれか。
問題
XSS(クロスサイトスクリプティング)の説明はどれか。
- ア 正規サイトに似せた偽サイトに誘導する攻撃
- イ Webアプリの脆弱性を悪用し、利用者のブラウザ上で不正なスクリプトを実行させる攻撃(正解)
- ウ 不正なSQL文をWebフォーム経由でDBに送り込む攻撃
- エ 大量のリクエストを送りサーバを過負荷にする攻撃
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:Webアプリの脆弱性を悪用し、利用者のブラウザ上で不正なスクリプトを実行させる攻撃
正解はイ:XSS(クロスサイトスクリプティング)は、Webアプリケーションの出力処理の不備を悪用し、攻撃者が用意したスクリプトを利用者のブラウザ上で実行させる攻撃です。掲示板や検索結果画面など、利用者の入力を画面に表示する箇所で起こりやすいのが特徴です。
被害と対策:被害としては、Cookieの盗取、偽フォームの表示、利用者権限での不正操作などがあります。代表的な対策は、HTMLへ出力する際のエスケープ、入力値の検証、Content Security Policy(CSP)の利用です。
他の選択肢:アはフィッシング、ウはSQLインジェクション、エはDoS/DDoS攻撃の説明です。XSSは「利用者のブラウザでスクリプトが実行される」と覚えておくと迷いません。
他の選択肢はなぜ違う?
- ア偽サイトへの誘導はフィッシング。
- ウSQL文の注入はSQLインジェクション。
- エ大量リクエストでの妨害はDoS攻撃。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。