クロスサイトスクリプティング : 今日の気づき　～はひふへほ～

クロスサイトスクリプティング

2022年04月18日20:18

令和３年度　技術士第一次試験問題　情報工学部門　Ⅲ－３０

Ⅲ－３０

Webアプリケーションに対する攻撃の1つに、クロスサイトリクエストフォージェリ (CSRF) がある。これは、別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃である。この攻撃への対策として、最も適切なものはどれか。

①　HTMLを出力する際に、要素や属性値を表現するときに使われる特殊文字を、エスケープする。

②　SQL文を組み立てる際に、プレースホルダを用いる。

③　他者が推定困難なランダム値 (トークン) をhiddenフィールドとして埋め込んでおき、フォームデータを処理する際に、フォームデータ内にその値が含まれていることを確認する。

④　別のファイルを開く際に与えるパラメータについて、文字種を英数字のみ等の安全なものに限定する。

⑤　ユーザの認証に成功した時点で新しいセッションIDを発行し、それまでのセッションIDを無効にする。

答えはこちら

タグ：: クロスサイトリクエストフォージェリ; コマンド注入; SQLインジェクション; セッションID; クロスサイトスクリプティング

2021年06月27日08:47

令和３年度春期応用情報技術者試験問題問３７

問３７

Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。

ア　HTTPレスポンスヘッダに X-Content-Type-Optionsを設定する。

イ　HTTPレスポンスヘッダに X-Frame-Optionsを設定する。

ウ　入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える。

エ　入力文字数が制限を超えているときは受け付けない。

答えはこちら

タグ：: HTTPレスポンスヘッダ; クロスサイトスクリプティング; サニタイジング; クリックジャッキング

2021年04月12日00:03

平成２７年度秋期基本情報技術者試験問題問４２

問４２

SQLインジェクション攻撃を防ぐ方法はどれか。

ア　入力中の文字がデータベースへの問合せや操作において、特別な意味をもつ文字として解釈されないようにする。

イ　入力にHTMLタグが含まれていたら、HTMLタグとして解釈されない他の文字列に置き換える。

ウ　入力に上位ディレクトリを指定する文字列 (../) が含まれているときは受け付けない。

エ　入力の全体の長さが制限を越えているときは受け付けない。

答えはこちら

タグ：: SQLインジェクション; ディレクトリ・トラバーサル攻撃; クロスサイトスクリプティング; バッファオーバーフロー

2020年08月17日00:19

平成２９年度春期基本情報技術者試験問題問３７

問３７

ディレクトリトラバーサル攻撃に該当するものはどれか。

ア　攻撃者が、Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、管理者の意図していないSQL文を実行させる。

イ　攻撃者が、パス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する。

ウ　攻撃者が、利用者をWebサイトに誘導した上で、WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し、利用者のWebブラウザで悪意のあるスクリプトを実行させる。

エ　セッションIDによってセッションが管理されるとき、攻撃者がログイン中の利用者のセッションIDを不正に取得し、その利用者になりすましてサーバにアクセスする。

答えはこちら

タグ：: ディレクトリトラバーサル攻撃; SQLインジェクション; クロスサイトスクリプティング; セッションハイジャック

2020年05月29日20:28

平成２９年度秋期基本情報技術者試験問題問３９

問３９

SQLインジェクション攻撃の説明はどれか。

ア　Webアプリケーションに問題があるとき、悪意のある問合せや操作を行う命令文をWebサイトに入力して、データベースのデータを不正に取得したり改ざんしたりする攻撃

イ　悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃

ウ　市販されているDBMSの脆弱性を悪用することによって、宿主となるデータベースサーバを探して感染を繰り返し、インターネットのトラフィックを急増させる攻撃

エ　訪問者の入力データをそのまま画面に表示するWebサイトを悪用して、悪意のあるスクリプトを訪問者のWebブラウザで実行させる攻撃

答えはこちら

タグ：: SQLインジェクション攻撃; クロスサイトリクエストフォージェリ; SQL; Slammer; クロスサイトスクリプティング

2020年01月01日00:01

令和元年度秋期基本情報技術者試験問題問４１

問４１

検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。

ア　DNSキャッシュポイズニング

イ　SEOポイズニング

ウ　クロスサイトスクリプティング

エ　ソーシャルエンジニアリング

答えはこちら

タグ：: DNSキャッシュポイズニング; SEOポイズニング; クロスサイトスクリプティング; ソーシャルエンジニアリング

2018年12月31日00:25

問４１
クロスサイトスクリプティング対策に該当するものはどれか。

　ア　ＷｅｂサーバでＳＮＭＰエージェントを常時稼働させることによって、
　　　攻撃を検知する。
　イ　ＷｅｂサーバのＯＳにセキュリティパッチを適用する。
　ウ　Ｗｅｂページに入力されたデータの出力データが、ＨＴＭＬタグと
　　　して解釈されないように処理する。
　エ　許容量を超えた大きさのデータをＷｅｂページに入力することを
　　　禁止する。

答えはこちら

タグ：: クロスサイトスクリプティング; コマンドインジェクション攻撃; バッファオーバーフロー攻撃

2018年08月21日00:08

平成３０年度春期基本情報技術者試験問題問４１

問４１
ＳＱＬインジェクション攻撃による被害を防ぐ方法は
どれか。

　ア　入力された文字が、データベースへの問合せや
　　　操作において、特別な意味をもつ文字として
　　　解釈されないようにする。
　イ　入力にＨＴＭＬタグが含まれていたら、ＨＴＭＬタグ
　　　として解釈されない他の文字列に置き換える。
　ウ　入力に上位ディレクトリを指定する文字列 (../)
　　　が含まれているときは受け付けない。
　エ　入力の全体の長さが制限を越えているときは
　　　受け付けない。

答えはこちら

タグ：: SQLインジェクション攻撃; クロスサイトスクリプティング; ディレクトリ・トラバーサル; バッファオーバーフロー攻撃

2018年05月27日09:53

平成３０年度春期応用情報技術者試験問題問３７

問３７
クロスサイトスクリプティングの手口はどれか。

　ア　Ｗｅｂアプリケーションのフォームの入力フィールドに、
　　　悪意のある JavaScript コードを含んだデータを
　　　入力する。
　イ　インターネットなどのネットワークを通じてサーバに
　　　不正にアクセスしたり、データの改ざんや破壊を行った
　　　りする。
　ウ　大量のデータをＷｅｂアプリケーションに送ることによって、
　　　用意されたバッファ領域をあふれさせる。
　エ　パス名を推定することによって、本来は認証された後に
　　　しかアクセスが許可されないページに直接ジャンプする。

答えはこちら