平成30年秋期試験午前問題 午前Ⅰ 問13

午前Ⅰ 問13解説へ
クロスサイトスクリプティング対策に該当するものはどれか。

  • WebサーバでSNMPエージェントを常時稼働させることによって,攻撃を検知する。
  • WebサーバのOSにセキュリティパッチを適用する。
  • Webページに入力されたデータの出力データが,HTMLタグとして解釈されないように処理する。
  • 許容量を超えた大きさのデータをWebページに入力することを禁止する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。

クロスサイトスクリプティングは、攻撃者が送り込んでくる文字列がHTMLドキュメントの一部となるように合成されて、その部分がブラウザによってスクリプトとして解釈される構文となることによって成立します。よって、プログラム中のデータをHTMLとして出力する際に、HTMLで特別な意味をもつ文字(<,>,",',&など)を実体参照に置き換えて無害化したり、HTMLタグを削除したりすることによりスクリプトとして解釈されないようにすることが重要です。
  • 不正アクセス対策に該当します。
  • OSコマンドインジェクション対策に該当します。
  • 正しい。クロスサイトスクリプティング対策に該当します。
  • バッファオーバフロー対策に該当します。

Pagetop