問題
XSS(クロスサイトスクリプティング)攻撃の仕組みは何か。
選択肢
- 1悪意あるスクリプトをWebページに埋め込み他ユーザのブラウザで実行
- 2SQL文の不正実行
- 3大量パケット送付
- 4パスワード総当たり
正解
1. 悪意あるスクリプトをWebページに埋め込み他ユーザのブラウザで実行
詳しい解説を見る解説を閉じる
解説
XSS(クロスサイトスクリプティング)は、入力値を無害化せずにWebページへ出力してしまう脆弱性を悪用し、悪意あるスクリプトをページに埋め込んで、それを閲覧した他の利用者のブラウザ上で実行させる攻撃である。これによりCookie(セッションID)の窃取や偽の入力画面の表示などが行われる。主な対策は、出力時に「<」「>」などの特殊文字を無害な表記に変換するエスケープ(サニタイジング)処理である。「SQL文の不正実行」はSQLインジェクションの説明で、攻撃対象がデータベースである点が異なる。「大量パケット送付」はDoS攻撃、「パスワード総当たり」はブルートフォース攻撃である。基本情報技術者試験では、XSSは利用者のブラウザ側でスクリプトが実行される点が特徴で、SQLインジェクションとの区別が最頻出のひっかけポイントである。
一問一答
科目A 180問+科目B 60問