2015年06月10日
ITパスポート 過去問 27年春 問84
27年春 問題一覧へ
問84 クロスサイトスクリプティングに関する記述として,適切なものはどれか。
ア Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
イ Webページの入力項目にOSの操作コマンドを埋め込んでWebサーバに送信し,サーバを不正に操作する。
ウ 複数のWebサイトに対して,ログインIDとパスワードを同じものに設定するという利用者の習性を悪用する。
エ 利用者に有用なソフトウェアと見せかけて,悪意のあるソフトウェアをインストールさせ,利用者のコンピュータに侵入する。
クロスサイトスクリプティングとは下の図のようにスクリプトが埋め込まれたページをそのまま利用者に送ってしまうという脆弱性を利用した攻撃手法。
下の図では次のようにして、閲覧者のクッキー情報などが盗まれる。
1.悪意のあるサイトにメールなどで、たくみに閲覧者を誘導する
2.閲覧者が(A)のリンクをクリックしてしまう
3.このリンクは、脆弱性のあるサイトにリンクしている
4.その脆弱性とは、受け取ったパラメータがスクリプトであっても、それを埋め込んだページをブラウザに送信するというもの
5. 3のリンクには、閲覧者のクッキー情報を悪意のあるサーバに送るというスクリプトがついている
6.つまり、(B)には、閲覧者がそれをブラウザで表示すると、閲覧者のクッキー情報が送信されてしまうようなスクリプトがついている
7.そのため、(B)をブラウザで表示すると同時に閲覧者のクッキー情報が盗まれてしまうことになる
ア
27年春 問題一覧へ
にほんブログ村
問題
問84 クロスサイトスクリプティングに関する記述として,適切なものはどれか。
ア Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
イ Webページの入力項目にOSの操作コマンドを埋め込んでWebサーバに送信し,サーバを不正に操作する。
ウ 複数のWebサイトに対して,ログインIDとパスワードを同じものに設定するという利用者の習性を悪用する。
エ 利用者に有用なソフトウェアと見せかけて,悪意のあるソフトウェアをインストールさせ,利用者のコンピュータに侵入する。
解説
クロスサイトスクリプティングとは下の図のようにスクリプトが埋め込まれたページをそのまま利用者に送ってしまうという脆弱性を利用した攻撃手法。
下の図では次のようにして、閲覧者のクッキー情報などが盗まれる。
1.悪意のあるサイトにメールなどで、たくみに閲覧者を誘導する
2.閲覧者が(A)のリンクをクリックしてしまう
3.このリンクは、脆弱性のあるサイトにリンクしている
4.その脆弱性とは、受け取ったパラメータがスクリプトであっても、それを埋め込んだページをブラウザに送信するというもの
5. 3のリンクには、閲覧者のクッキー情報を悪意のあるサーバに送るというスクリプトがついている
6.つまり、(B)には、閲覧者がそれをブラウザで表示すると、閲覧者のクッキー情報が送信されてしまうようなスクリプトがついている
7.そのため、(B)をブラウザで表示すると同時に閲覧者のクッキー情報が盗まれてしまうことになる
答
にほんブログ村
【27年春テクノロジ系の最新記事】
なんか楽しい赤ちゃんのブログ
この記事へのコメント