攻撃手法
情報セキュリティマネジメント試験「クロスサイトスクリプティング」の問題
掲示板などの入力内容がそのまま表示されるWebサイトに、利用者のブラウザ上で実行される不正なスクリプトを埋め込み、閲覧者のCookieなどを盗もうとする攻撃はどれか。
ア閲覧者のブラウザで不正スクリプトを実行させて情報を盗む攻撃。
イ大量の通信を送りつけてサービスを停止させるDoS攻撃のこと。
ウ他人のIDで権限なくシステムへログインする不正アクセス。
エ公衆網の上に暗号化した通信路を作るVPNのことである。
正解
ア.閲覧者のブラウザで不正スクリプトを実行させて情報を盗む攻撃。
クロスサイトスクリプティング(XSS)は、入力内容の無害化が不十分なサイトに不正なスクリプトを埋め込み、それを閲覧した利用者のブラウザ上で実行させてCookie窃取や偽画面表示を行う攻撃である。
?選択肢ごとの解説
ア ○クロスサイトスクリプティング(XSS)は、入力内容の無害化が不十分なサイトに不正なスクリプトを埋め込み、それを閲覧した利用者のブラウザ上で実行させてCookie窃取や偽画面表示を行う攻撃である。
イ ×DoS攻撃は可用性を奪う攻撃で、閲覧者のブラウザで不正スクリプトを動かす本問のXSSとは狙いが異なる。
ウ ×不正アクセスは権限外の侵入で、サイト経由で閲覧者を狙うXSSとは攻撃の対象が異なる。
エ ×VPNは通信路の保護技術で、スクリプトを注入する攻撃である本問とは正反対の概念である。
攻撃手法の他の問題
攻撃者が情報システム部員になりすまして利用者に電話をかけ、「障害調査のため」と称してパスワードを聞き出した。この攻撃の分類と…特定企業を狙い、業務に関係する内容を装ったメールに不正な添付ファイルを付けて送り、長期間にわたり潜伏して情報を窃取しようとす…ソフトウェアの脆弱性が公表され修正プログラムが提供されるより前に、その脆弱性を悪用して行われる攻撃を何というか。実在する銀行を装ったメールで偽のログイン画面へ誘導し、入力された口座番号と暗証番号を盗み取ろうとする手口はどれか。あるアカウントに対し、考えうる文字の組合せを片端から自動で試し続けてパスワードを破ろうとする攻撃はどれか。多数の機器から大量の通信を一斉に送りつけてサーバを過負荷にし、正規の利用者がサービスを使えない状態に陥れる攻撃はどれか。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0022
