問題
クロスサイトスクリプティング(XSS)攻撃の仕組みはどれか。
選択肢
- 1ア SQL文を不正に実行する
- 2イ 悪意あるスクリプトをWebページに埋め込み、他ユーザのブラウザで実行させる
- 3ウ 大量のパケットを送り付ける
- 4エ パスワードを総当たり試行する
正解
2. イ 悪意あるスクリプトをWebページに埋め込み、他ユーザのブラウザで実行させる
詳しい解説を見る解説を閉じる
解説
正解はイ。クロスサイトスクリプティング(XSS)は、入力値の検証やエスケープ処理が不十分なWebアプリケーションの脆弱性を悪用し、悪意あるスクリプトをWebページに埋め込んで、閲覧した他ユーザのブラウザ上で実行させる攻撃である。セッションIDの窃取や偽ページの表示などにつながる。対策は特殊文字のエスケープ処理(サニタイジング)、入力値検証、CSP(Content Security Policy)の設定である。アはSQLインジェクション、ウはDoS攻撃、エはブルートフォース攻撃の説明である。基本情報では、XSS・CSRF・SQLインジェクションなどWebアプリ攻撃の手口と対策の対応付けが頻出であり、「スクリプトを他人のブラウザで実行させる=XSS」と整理して覚えるとよい。
一問一答
科目A 180問+科目B 60問