情報セキュリティスペシャリスト 平成27年秋期 午前U 問12

午前U 問12

クロスサイトスクリプティングによる攻撃を防止する対策はどれか。
  • WebサーバにSNMPエージェントを常駐稼働させ,Webサーバの負荷状態を監視する。
  • WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
  • Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
  • Webサイトへの入力データを表示するときに,HTMLで特別な意味をもつ文字のエスケープ処理を行う。

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。

この攻撃に対する脆弱性は、ユーザからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要があります。

したがって適切な対策は「エ」です。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop