平成28年春期試験問題 午前問21

クロスサイトスクリプティングに該当するものはどれか。

  • Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除を可能とする。
  • Webサイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする。
  • 確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする。
  • 攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。
XSSの脆弱性があるWebアプリケーションでは上記以外にも、偽の画面に書き換えられてフィッシングに悪用されたり、Webアプリケーションの機能を想定外に使用されたりといった被害が発生する可能性があります。

したがって「エ」が正解です。
  • SQLインジェクションに該当します。
  • DoS攻撃に該当します。
  • バッファオーバーフロー(バッファアンダーフロー)攻撃に該当します。
  • 正しい。クロスサイトスクリプティングに該当します。

Pagetop