ネットワークスペシャリスト 試験情報＆徹底解説

クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。

クロスサイトスクリプティングは、攻撃者が送り込んでくる文字列がHTMLドキュメントの一部となるように合成されて、その部分がブラウザによってスクリプトとして解釈される構文となることによって成立します。よって、プログラム中のデータをHTMLとして出力する際に、HTMLで特別な意味をもつ文字(<,>,",',&など)を実体参照に置き換えて無害化したり、HTMLタグを削除したりすることによりスクリプトとして解釈されないようにすることが重要です。

• 不正アクセス対策に該当します。XSSは正常なHTTP(S)パケットとしてWebサーバに届けられるので、SNMPエージェントで監視しても攻撃を検知することはできません。
• OSのセキュリティホールを突く攻撃への対策に該当します。XSS脆弱性はWebアプリケーションの実装に基因するものなので、OSのアップデートは対策にはなりません。
• 正しい。クロスサイトスクリプティング対策に該当します。
• バッファオーバフロー対策に該当します。