情報処理安全確保支援士平成31年春期 午前Ⅱ 問10

問10

クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
  • Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
  • Webサイトへのログイン後,毎回異なる値をHTTPレスポンスに含め,Webブラウザからのリクエストごとに送付されるその値を,Webサーバ側で照合する。
  • Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。
  • WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<"や">"などの特殊文字を,タグとして認識されない"&lt;"や"&gt;" などの文字列に置き換える。
  • [出題歴]
  • 安全確保支援士 R6春期 問1

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

クロスサイトリクエストフォージェリ(CSRF)は、悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、利用者認証やセッション管理の脆弱性のある別のWebサイトで、その訪問者が意図しない操作(ショッピングでの決済・退会等)を行わせる攻撃です。

CSRF被害を回避するには、不正なリクエストを退ける次のような手順を処理確定前に組み込むことが求められます。
  • 秘密情報(ページトークン)による認証
  • パスワードの再入力
  • 参照元情報(Referrer:リファラ)の検証
「ア」「イ」「ウ」の対策はCSRF対策として有効ですが、「エ」はXSS(クロスサイトスクリプティング)対策であるためCSRFには効果がありません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop