HOME»情報処理安全確保支援士令和7年秋期»午前Ⅱ 問16
情報処理安全確保支援士令和7年秋期 午前Ⅱ 問16
問16
クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
- Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
- Webサイトへのログイン後,HTTPレスポンスボディに含めた秘密の値と,Webブラウザから送付される値とを,Webサーバ側で照合する。
- Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。
- WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<",>"などの特殊文字を,"<",">"などの文字列に置き換える。
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
エ
解説
クロスサイトリクエストフォージェリ(CSRF)は、悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、利用者認証やセッション管理の脆弱性のある別のWebサイトで、その訪問者が意図しない操作(ショッピングでの決済・退会等)を行わせる攻撃です。
CSRF被害を回避するには、不正なリクエストを退ける次のような手順を処理確定前に組み込むことが求められます。
CSRF被害を回避するには、不正なリクエストを退ける次のような手順を処理確定前に組み込むことが求められます。
- 秘密情報(CSPFページトークン)による認証
- パスワードの再入力
- 参照元情報(Referrer:リファラー)の検証