平成30年秋期試験問題 午前Ⅰ 問13

クロスサイトスクリプティング対策に該当するものはどれか。

  • WebサーバでSNMPエージェントを常時稼働させることによって,攻撃を検知する。
  • WebサーバのOSにセキュリティパッチを適用する。
  • Webページに入力されたデータの出力データが,HTMLタグとして解釈されないように処理する。
  • 許容量を超えた大きさのデータをWebページに入力することを禁止する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。

クロスサイトスクリプティングは、攻撃者が送り込んでくる文字列がHTMLドキュメントの一部となるように合成されて、その部分がブラウザによってスクリプトとして解釈される構文となることによって成立します。よって、プログラム中のデータをHTMLとして出力する際に、HTMLで特別な意味をもつ文字(<,>,",',&など)を実体参照に置き換えて無害化したり、HTMLタグを削除したりすることによりスクリプトとして解釈されないようにすることが重要です。
  • 不正アクセス対策に該当します。XSSは正常なHTTP(S)パケットとしてWebサーバに届けられるので、SNMPエージェントで監視しても攻撃を検知することはできません。
  • OSのセキュリティホールを突く攻撃への対策に該当します。XSS脆弱性はWebアプリケーションの実装に基因するものなので、OSのアップデートは対策にはなりません。
  • 正しい。クロスサイトスクリプティング対策に該当します。
  • バッファオーバーフロー対策に該当します。

Pagetop