HOME»応用情報技術者試験掲示板»平成23年秋期 午後問9 情報セキュリティ 設2
投稿する
平成23年秋期 午後問9 情報セキュリティ 設2 [1951]
nanashiさん(No.1)
応用情報技術者過去問題 平成23年秋期 午後問9
<script>タグを用いたコードにエスケープ処理を適切に施す目的は何か。20字以内で述べよ。
模範解答は「悪意のあるコードを実行させない」だけど、
自分の解答は「クロスサイトスクリプティングを防止する」でした。
これは間違っているのですか?
部分点すらもらえないのでしょうか
<script>タグを用いたコードにエスケープ処理を適切に施す目的は何か。20字以内で述べよ。
模範解答は「悪意のあるコードを実行させない」だけど、
自分の解答は「クロスサイトスクリプティングを防止する」でした。
これは間違っているのですか?
部分点すらもらえないのでしょうか
2020.03.11 11:56
健闘お祈りしますさん(No.2)
問題文中の[対策の提言](2)の次の段落に、
「今回のように,ログインした会員だけが,予期しない処理を実行させられてしまうセキュリティ攻撃は,クロスサイトリクエストフォージェリーと呼ばれている」
と書かれています。
クロスサイトスクリプティング(XSS)と、クロスサイトリクエストフォージェリー(CSRF)は異なる攻撃です。
利用される脆弱性は同じであり、手法も似通っていますが、被害が出る場所が違いますので区別が必要です。
XSS :悪意のあるスクリプトを埋め込んだサイトを踏んでしまった人が情報を盗まれる等の被害を受けます。
CSRF :悪意のあるスクリプトを仕込まれたサイトのサービスが不正稼働等の被害を受けます。
攻撃の名称が明記されていますので、問題の意図としては攻撃のどの部分を防ぐことができるのかを問うているということになると思います。
「今回のように,ログインした会員だけが,予期しない処理を実行させられてしまうセキュリティ攻撃は,クロスサイトリクエストフォージェリーと呼ばれている」
と書かれています。
クロスサイトスクリプティング(XSS)と、クロスサイトリクエストフォージェリー(CSRF)は異なる攻撃です。
利用される脆弱性は同じであり、手法も似通っていますが、被害が出る場所が違いますので区別が必要です。
XSS :悪意のあるスクリプトを埋め込んだサイトを踏んでしまった人が情報を盗まれる等の被害を受けます。
CSRF :悪意のあるスクリプトを仕込まれたサイトのサービスが不正稼働等の被害を受けます。
攻撃の名称が明記されていますので、問題の意図としては攻撃のどの部分を防ぐことができるのかを問うているということになると思います。
2020.03.11 21:59