ITパスポート 平成27年春期 問84

問84

クロスサイトスクリプティングに関する記述として,適切なものはどれか。
  • Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
  • Webページの入力項目にOSの操作コマンドを埋め込んでWebサーバに送信し,サーバを不正に操作する。
  • 複数のWebサイトに対して,ログインIDとパスワードを同じものに設定するという利用者の習性を悪用する。
  • 利用者に有用なソフトウェアと見せかけて,悪意のあるソフトウェアをインストールさせ,利用者のコンピュータに侵入する。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。
XSS脆弱性のあるWebアプリケーションでは、以下の影響を受ける可能性があります。
  1. サイト攻撃者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキー値などの情報を盗まれ、利用者が被害に遭う。
  2. 1.と同様にブラウザ上でスクリプトを実行され、サイト利用者の権限でWebアプリケーションの機能を利用される。
  3. Webサイト上に偽の入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる。
  • 正しい。XSS攻撃の説明です。
  • OSコマンドインジェクション攻撃の説明です。
  • リスト型の不正ログイン攻撃の説明です。
  • トロイの木馬の説明です。
© 2009-2017 ITパスポート試験ドットコム All Rights Reserved.

Pagetop