平成29年春期試験問題 午前問44
問44解説へ
攻撃にHTTP over TLS(HTTPS)が使われた場合に起こり得ることはどれか。
- HTTPSを使ったSQLインジェクション攻撃を受けると,Webアプリケーションでデータベースへの不正な入力をチェックできないので,悪意のあるSQLが実行されてしまう。
- HTTPSを使ったクロスサイトスクリプティング攻撃を受けると,Webブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので,悪意のあるWebサイトからダウンロードされたプログラムやスクリプトが実行されてしまう。
- HTTPSを使ったブルートフォース攻撃を受けると,ログイン試行のチェックができないので,Webアプリケーションでアカウントロックなどの対策が実行できなくなってしまう。
- 攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると,通信内容がチェックできないので,秘密情報が社外に送信されてしまう。
広告
解説
HTTPSを使用したとき、通信データが暗号化されるのは「クライアントとサーバの間」です。Webサーバは暗号化されたデータを平文のHTTPリクエストに復号した後、リクエストに応じた処理を行います。
- Webサーバで処理される際のHTTPリクエストは平文の状態です。このためSQLの実行前にクライアントからの入力データをチェック/無害化できます。
- クライアント側でJavaScriptを無効にしていれば、JavaScriptのコードが実行されることはありません。
- Webサーバで処理される際のHTTPリクエストは平文の状態です。このためWebサーバ側で攻撃対象のIDやリクエスト主の情報を把握し、ロックアウト等の措置をとることが可能です。
- 正しい。HTTPSではクライアント-サーバ間の通信が暗号化されます。このため、もし通信経路上にプロキシサーバ等が介在したとしても内容のチェックはできません。