プロジェクトマネージャ 平成30年春期 午前T 問12

午前T 問12

クロスサイトスクリプティングの手口はどれか。
  • Webアプリケーションのフォームの入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
  • インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざんや破壊を行ったりする。
  • 大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
  • パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。
  • [この問題の出題歴]
  • 応用情報技術者
    平成30年春期 問37と同題

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。

XSS脆弱性のあるWebアプリケーションでは、以下の影響を受ける可能性があります。
  1. サイト攻撃者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ、利用者が被害にあう。
  2. 同様にブラウザ上でスクリプトを実行され、サイト利用者の権限でWebアプリケーションの機能を利用される。
  3. Webサイト上に偽の入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる。
  • 正しい。クロスサイトスクリプティングの手口です。
  • クラッキングの手口です。
  • バッファオーバフロー攻撃の手口です。
  • ディレクトリトラバーサル攻撃の手口です。
© 2017-2018 プロジェクトマネージャ試験ドットコム All Rights Reserved.

Pagetop