情報セキュリティスペシャリスト平成24年秋期 午前T 問15

午前T 問15

安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
  • [この問題の出題歴]
  • 応用情報技術者
    平成24年秋期 問41と同題

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

Webアプリケーションに対するそれぞれの攻撃手法を確認しておきましょう。
SQLインジェクション
入力データとしてデータベースへの命令文を構成するデータを入力し、Webアプリケーションが想定しない想定外のSQL文を意図的に実行させることでデータベースを攻撃する行為。
クロスサイトスクリプティング
動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、サイト間を横断して悪意のあるスクリプトを混入させることでユーザのクッキーを盗むなどの攻撃を行う行為。
クロスサイトリクエストフォージェリ
悪意のあるスクリプトが埋め込まれたWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃手法。会員制サイトでログイン状態であるときに会員情報の変更や商品の注文画面への直接リンクを踏ませる(またはスクリプトでリダイレクトする)などの意図しない不正な処理要求を行わせる行為がこれに該当する。
セッションハイジャック
認証が完了してセッションを開始しているブラウザとWebサーバの間の通信において、CookieやセッションIDなどのセッション情報を盗むことで、対象セッションを通信当事者以外が乗っ取る攻撃手法。
  • 正しい。
  • CSSにはJavaScriptを記述できる個所がいくつかあるため、外部のスタイルシートの取り込む仕様は攻撃者にとって付け入る隙となってしまいます。
  • GETメソッドを使用すると、URLから秘密情報を読みとられたり改ざんされたりという可能性が高くなるのでPOSTメソッドを使用すべきです。
  • 固定のIDはセッションハイジャックのターゲットになりやすく危険です。
GETやPOSTというのはWebブラウザからサーバへのパラメタの受け渡し型の違いです。GETメソッドは、 ○○.php?mode=new&uid=34632847 というようにURLの後ろにパラメタを付加して送信する方式、POSTメソッドは、パラメタをメッセージボディにセットしサーバに渡す方式です。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop