平成27年秋期試験午前問題 午前Ⅱ 問12

午前Ⅱ 問12解説へ
クロスサイトスクリプティングによる攻撃を防止する対策はどれか。

  • WebサーバにSNMPエージェントを常駐稼働させ,Webサーバの負荷状態を監視する。
  • WebサーバのOSのセキュリティパッチについて,常に最新のものを適用する。
  • Webサイトへのデータ入力について,許容範囲を超えた大きさのデータの書込みを禁止する。
  • Webサイトへの入力データを表示するときに,HTMLで特別な意味をもつ文字のエスケープ処理を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。

この攻撃に対する脆弱性は、ユーザからの入力データ内に含まれる引用符('や")やHTMLタグを、無効化せずにそのまま表示してしまうWebアプリケーションの不備により生じます。これを防ぐためにはWebページの出力時にHTMLの特殊文字を適切にエスケープ(無効化)する処理をWebアプリケーションに組み込む必要があります。

したがって適切な対策は「エ」です。

Pagetop