オリジナル模擬試験3 問40
問40解説へ
クリックジャッキング攻撃に該当するものはどれか。
- Webアプリケーションの脆(ぜい)弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
- Webページのコンテンツ上に透明化した標的サイトのコンテンツを配置し,利用者が気づかないうちに標的サイト上で不正操作を実行させる。
- ブラウザの表示機能を利用し,ブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
- 利用者のブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
広告
解説
クリックジャッキング攻撃は、ユーザーを視覚的にだまし正常に見えるウェブページ上のコンテンツをクリックさせ、別のウェブページのコンテンツをクリックさせる攻撃です。(IPA資料より引用)
具体的には、次の手順で攻撃が成立してしまいます。
具体的には、次の手順で攻撃が成立してしまいます。
- ユーザーがサイトAにログインしている状態で、悪意あるページを閲覧する
- 悪意あるページは、サイトAのページをiframe要素などによって自身のページコンテンツとして取り込む
- 悪意あるページは、CSSプロパティなどの設定でサイトAを透明表示にする
- 悪意あるページは、サイトA画面上の不正操作させたい箇所へのクリックを誘導するページを表示する
- 悪意あるページは、透明状態のサイトAを"3"のページの前面に配置する
- この状態でユーザーが誘導にそってクリックをすると、意図せずに前面にあるサイトA上の操作を実行してしまう
- HTTPレスポンス分割攻撃の説明です。
- 正しい。クリックジャッキング攻撃の説明です。
- タブナビング(Tabnabbing)攻撃の説明です。
- スパイウェアの説明です。
広告