クロスサイトスクリプティング : 今日の気づき　～はひふへほ～

問４１
クロスサイトスクリプティング対策に該当するものはどれか。

　ア　ＷｅｂサーバでＳＮＭＰエージェントを常時稼働させることによって、
　　　攻撃を検知する。
　イ　ＷｅｂサーバのＯＳにセキュリティパッチを適用する。
　ウ　Ｗｅｂページに入力されたデータの出力データが、ＨＴＭＬタグと
　　　して解釈されないように処理する。
　エ　許容量を超えた大きさのデータをＷｅｂページに入力することを
　　　禁止する。

答えはこちら

タグ：: クロスサイトスクリプティング; コマンドインジェクション攻撃; バッファオーバーフロー攻撃

2018年08月21日00:08

平成３０年度春期基本情報技術者試験問題問４１

問４１
ＳＱＬインジェクション攻撃による被害を防ぐ方法は
どれか。

　ア　入力された文字が、データベースへの問合せや
　　　操作において、特別な意味をもつ文字として
　　　解釈されないようにする。
　イ　入力にＨＴＭＬタグが含まれていたら、ＨＴＭＬタグ
　　　として解釈されない他の文字列に置き換える。
　ウ　入力に上位ディレクトリを指定する文字列 (../)
　　　が含まれているときは受け付けない。
　エ　入力の全体の長さが制限を越えているときは
　　　受け付けない。

答えはこちら

タグ：: SQLインジェクション攻撃; クロスサイトスクリプティング; ディレクトリ・トラバーサル; バッファオーバーフロー攻撃

2018年05月27日09:53

平成３０年度春期応用情報技術者試験問題問３７

問３７
クロスサイトスクリプティングの手口はどれか。

　ア　Ｗｅｂアプリケーションのフォームの入力フィールドに、
　　　悪意のある JavaScript コードを含んだデータを
　　　入力する。
　イ　インターネットなどのネットワークを通じてサーバに
　　　不正にアクセスしたり、データの改ざんや破壊を行った
　　　りする。
　ウ　大量のデータをＷｅｂアプリケーションに送ることによって、
　　　用意されたバッファ領域をあふれさせる。
　エ　パス名を推定することによって、本来は認証された後に
　　　しかアクセスが許可されないページに直接ジャンプする。

答えはこちら

タグ：: クロスサイトスクリプティング; クラッキング; バッファオーバーフロー攻撃; ディレクトリ・トラバーサル

2016年12月18日13:26

平成２８年度春期基本情報技術者試験問題問３６

問３６
検索サイトの検索結果の上位に悪意のあるサイトが並ぶように細工する攻撃の
名称はどれか。

　ア　DNSキャッシュポイズニング
　イ　SEOポイズニング
　ウ　クロスサイトスクリプティング
　エ　ソーシャルエンジニアリング

答えはこちら

タグ：: DNSキャッシュポイズニング; SEOポイズニング; クロスサイトスクリプティング; ソーシャルエンジニアリング

2016年05月10日08:28

平成２７年度　技術士第一次試験問題　情報工学部門　Ⅲ－１２

Ⅲ－１２
DB(データベース)のSQLインジェクション攻撃に関する次の記述のうち、最も適切なものはどれか。

　①　DBMS製品に脆弱性がある場合、その脆弱性を利用してDBサーバに不正に侵入し、
　　　DB中のデータを不正に取得したり、改ざんしたりする攻撃である。
　②　WebアプリケーションにHTTPレスポンスへッダの出力処理に脆弱性がある場合、
　　　悪意のあるヘッダ行を挿入して不正な動作を行わせる攻撃である。
　③　Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性がある場合、
　　　その脆弱性を悪用して不正なスククリプトを利用者ブラウザ上で実行する攻撃である。
　④　WebアプリケーションにDB処理の脆弱性がある場合、悪意のある命令文をDBへ送信して、
　　　DB中のデータを不正に取得したり、改ざんしたりする攻撃である。
　⑤　Webアプリケーションのメモリ操作に脆弱性がある場合、メモリ領域を越えて
　　　メモリを上書し、悪意のあるコードを実行させてプログラムを誤動作させる攻撃である。

答えはこちら

タグ：: SQLインジェクション攻撃; クロスサイトスクリプティング; HTTPヘッダ・インジェクション