問題
クロスサイトスクリプティング(XSS)攻撃の説明として正しいものはどれか。
選択肢
- 1Web アプリの脆弱性を利用し、別ユーザのブラウザに不正なスクリプトを実行させる攻撃
- 2OS コマンドを Web 経由で実行させる攻撃
- 3正規ユーザのセッション ID を別サイトで利用する攻撃(リクエスト強要)
- 4データベースに不正な SQL を流し込む攻撃
正解
1. Web アプリの脆弱性を利用し、別ユーザのブラウザに不正なスクリプトを実行させる攻撃
詳しい解説を見る解説を閉じる
解説
XSS は、攻撃者が入力欄や URL を介して悪意あるスクリプトを Web ページに埋め込み、別ユーザのブラウザで実行させる攻撃である。Cookie 窃取、画面改ざん、フィッシング誘導などに悪用される。対策は出力時の HTML エスケープ、Content Security Policy(CSP)、HttpOnly Cookie、フレームワーク提供のエスケープ関数の活用。OS コマンドインジェクション、CSRF(リクエスト強要)、SQL インジェクションは別カテゴリの脅威。XSS は格納型・反射型・DOM 型に分類される。
一問一答
全400問を繰り返し学習