情報セキュリティ(全143問中63問目)
No.63解説へ
クロスサイトスクリプティングの手口に該当するものはどれか。
出典:平成27年秋期 問36
- 攻撃者が,スクリプトを用いてWebサイトのOSコマンドを呼び出し,任意のファイルの読出しや変更・削除などの不正操作をする。
- 攻撃者が,スクリプトを用いて特定のPCへ大量に接続要求を送り出し,通信機能を停止させる。
- 攻撃者が用意したスクリプトでWebサイトのサービスポートに順次アクセスし,各ポートに対応するサービスに存在するセキュリティ上の弱点を探し出す。
- 攻撃者が用意したスクリプトを,閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み,閲覧者のWebブラウザ上でスクリプトを実行させる。
広告
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザーのクッキーや個人情報を盗んだりする攻撃手法です。
XSS脆弱性のあるWebアプリケーションでは、以下の影響を受ける可能性があります。
XSS脆弱性のあるWebアプリケーションでは、以下の影響を受ける可能性があります。
- サイト攻撃者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ、利用者が被害にあう。
- 同様にブラウザ上でスクリプトを実行され、サイト利用者の権限でWebアプリケーションの機能を利用される。
- Webサイト上に偽の入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる。
- OSコマンドインジェクションの手口です。
- DoS攻撃の手口です。
- ポートスキャンの手口です。
- 正しい。クロスサイトスクリプティングの手口です。
広告