HOME»情報セキュリティスペシャリスト平成27年秋期»午前Ⅱ 問12
情報セキュリティスペシャリスト平成27年秋期 午前Ⅱ 問12
問12
クロスサイトスクリプティングによる攻撃を防止する対策はどれか。
- WebサーバにSNMPエージェントを常駐稼働させ,Webサーバの負荷状態を監視する。
- WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
- Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
- Webサイトへの入力データを表示するときに,HTMLで特別な意味をもつ文字のエスケープ処理を行う。
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
エ
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。
この攻撃に対する脆弱性は、ユーザーからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要があります。
したがって適切な対策は「エ」です。
この攻撃に対する脆弱性は、ユーザーからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要があります。
したがって適切な対策は「エ」です。