オリジナル予想問題2 問76
問76解説へ
クロスサイトスクリプティング攻撃に該当するものはどれか。
- Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、想定外のSQL文を実行する。
- Webサイトに利用者を誘導して、Webサイトの入力データ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスクリプトを実行する。
- サーバ内の想定外のファイル名を直接してすることによって、本来許されないファイルを不正に閲覧する。
- セッションIDによってセッションが管理されるとき、ログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてアクセスする。
広告
解説
クロスサイトスクリプティング(XSS)とは、ユーザーの入力したデータをもとに動的にWebページを作成するコンテンツのあるサイトに対して行われる攻撃手法です。
攻撃者は、入力フォームに悪意のあるスクリプトコードを混入させることにより攻撃を行いますが、セキュリティに不備があるサイトでは、この悪意のあるコードそのままを(管理者が予期しない形で)Webページの一部としてとして出力してしまいます。その結果、攻撃者が入力した任意のスクリプトが実行されてしまうという事態が発生します。
攻撃者は、入力フォームに悪意のあるスクリプトコードを混入させることにより攻撃を行いますが、セキュリティに不備があるサイトでは、この悪意のあるコードそのままを(管理者が予期しない形で)Webページの一部としてとして出力してしまいます。その結果、攻撃者が入力した任意のスクリプトが実行されてしまうという事態が発生します。
- SQLインジェクションの説明です。
- 正しい。
- ディレクトリトラバーサル攻撃の説明です。
- セッションハイジャックの説明です。
広告