令和6年春期試験問題 午前Ⅱ 問1

クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。

  • Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
  • Webサイトへのログイン後,毎回異なる値をHTTPレスポンスボディに含め,Webブラウザからのリクエストごとに送付されるその値を,Webサーバ側で照合する。
  • Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。
  • WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<"や">"などの特殊文字を,"&lt;"や"&gt;" などの文字列に置き換える。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
クロスサイトリクエストフォージェリ(CSRF)は、悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、利用者認証やセッション管理の脆弱性のある別のWebサイトで、その訪問者が意図しない操作(ショッピングでの決済・退会等)を行わせる攻撃です。

CSRF被害を回避するには、不正なリクエストを退ける次のような手順を処理確定前に組み込むことが求められます。
  • 秘密情報(ページトークン)による認証
  • パスワードの再入力
  • 参照元情報(Referrer:リファラ)の検証
「ア」「イ」「ウ」の対策はCSRF対策として有効ですが、「エ」はXSS(クロスサイトスクリプティング)対策であるためCSRFには効果がありません。

この問題の出題歴


Pagetop