情報処理安全確保支援士令和6年春期 午前Ⅱ 問1

問1

クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
  • Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
  • Webサイトへのログイン後,毎回異なる値をHTTPレスポンスボディに含め,Webブラウザからのリクエストごとに送付されるその値を,Webサーバ側で照合する。
  • Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。
  • WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<"や">"などの特殊文字を,"&lt;"や"&gt;" などの文字列に置き換える。
  • [出題歴]
  • 安全確保支援士 H31春期 問10

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

クロスサイトリクエストフォージェリ(CSRF)は、悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、利用者認証やセッション管理の脆弱性のある別のWebサイトで、その訪問者が意図しない操作(ショッピングでの決済・退会等)を行わせる攻撃です。

CSRF被害を回避するには、不正なリクエストを退ける次のような手順を処理確定前に組み込むことが求められます。
  • 秘密情報(ページトークン)による認証
  • パスワードの再入力
  • 参照元情報(Referrer:リファラ)の検証
「ア」「イ」「ウ」の対策はCSRF対策として有効ですが、「エ」はXSS(クロスサイトスクリプティング)対策であるためCSRFには効果がありません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop