ソフトウェア開発技術者平成18年秋期 午前問76

問76

クロスサイトスクリプティングによる攻撃へのセキュリティ対策はどれか。
  • OSのセキュリティパッチを適用することによって,Webサーバへの侵入を防止する。
  • Webアプリケーションで,クライアントに入力データを再表示する場合,情報内のスクリプトを無効にする処理を行う。
  • WebサーバにSNMPプログラムを常駐稼動させることによって,攻撃を検知する。
  • 許容範囲を超えた大きさのデータの書き込みを禁止し,Webサーバへの侵入を防止する。

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。

この攻撃に対する脆弱性は、ユーザーからの入力データ内に含まれる引用符やHTMLタグを無効せずにそのまま表示してしまうことが原因で生じるので、出力時にHTMLの特殊文字を適切にエスケープ(無効化)することで防ぐことができます。
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop