予想問題vol.8 問37
問37
クロスサイトスクリプティングによる攻撃を防止する対策はどれか。
- WebサーバにSNMPエージェントを常駐稼働させ,Webサーバの負荷状態を監視する。
- WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
- Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
- Webサイトへの入力データを表示するときに,HTMLで特別な意味をもつ文字のエスケープ処理を行う。
- [出典]
- 情報セキュリティ H27秋期 問12
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
エ
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで攻撃者が任意の画面に書き換えたり、ユーザーのクッキーや個人情報を盗むなどの攻撃を行う行為です。
この攻撃に対する脆弱性は、ユーザーからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリーケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要があります。
したがって適切な対策は「エ」です。
この攻撃に対する脆弱性は、ユーザーからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリーケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要があります。
したがって適切な対策は「エ」です。