情報セキュリティ(全74問中34問目)
No.34解説へ
クロスサイトスクリプティングなどの攻撃でCookieが漏えいすることによって受ける被害の例はどれか。
出典:平成29年秋期 問91
- PCがウイルスに感染する。
- PC内のファイルを外部に送信される。
- Webサービスのアカウントを乗っ取られる。
- 無線LANを介してネットワークに侵入される。
広告
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションに対して、セキュリティ上の不備を突いた悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを介してユーザーのクッキーや個人情報を盗んだりする攻撃です。
クッキーは、WebサーバやWebページの指示によってユーザー情報などをWebブラウザに保存する情報で、利用者の識別やログイン状態の維持に使用されています。本来セッション維持に使用されるクッキーはJavaScriptからアクセスできないように設定されているべきですが、設定に不備があった場合、攻撃者が混入したスクリプトからクッキー情報にアクセスすることが可能となります。攻撃者によってクッキー情報が外部に送信されるとセッションクッキーが漏えいし、アカウントに自動ログインされてしまうなどの被害が生じます。
したがって被害例としては「ウ」が適切です。
クッキーは、WebサーバやWebページの指示によってユーザー情報などをWebブラウザに保存する情報で、利用者の識別やログイン状態の維持に使用されています。本来セッション維持に使用されるクッキーはJavaScriptからアクセスできないように設定されているべきですが、設定に不備があった場合、攻撃者が混入したスクリプトからクッキー情報にアクセスすることが可能となります。攻撃者によってクッキー情報が外部に送信されるとセッションクッキーが漏えいし、アカウントに自動ログインされてしまうなどの被害が生じます。
広告