HOME»ネットワークスペシャリスト 平成30年秋期»午前T 問13
ネットワークスペシャリスト 平成30年秋期 午前T 問13
午前T 問13
クロスサイトスクリプティング対策に該当するものはどれか。
- [この問題の出題歴]
- 応用情報技術者
平成30年秋期 問41と同題
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
ウ
解説
クロスサイトスクリプティング(XSS)は、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。
クロスサイトスクリプティングは、攻撃者が送り込んでくる文字列がHTMLドキュメントの一部となるように合成されて、その部分がブラウザによってスクリプトとして解釈される構文となることによって成立します。よって、プログラム中のデータをHTMLとして出力する際に、HTMLで特別な意味をもつ文字(<,>,",',&など)を実体参照に置き換えて無害化したり、HTMLタグを削除したりすることによりスクリプトとして解釈されないようにすることが重要です。
クロスサイトスクリプティングは、攻撃者が送り込んでくる文字列がHTMLドキュメントの一部となるように合成されて、その部分がブラウザによってスクリプトとして解釈される構文となることによって成立します。よって、プログラム中のデータをHTMLとして出力する際に、HTMLで特別な意味をもつ文字(<,>,",',&など)を実体参照に置き換えて無害化したり、HTMLタグを削除したりすることによりスクリプトとして解釈されないようにすることが重要です。
- 不正アクセス対策に該当します。
- OSコマンドインジェクション対策に該当します。
- 正しい。クロスサイトスクリプティング対策に該当します。
- バッファオーバフロー対策に該当します。