攻撃手法

情報セキュリティマネジメント試験クロスサイトスクリプティング」の問題

情報セキュリティ全般攻撃手法難易度:hard
掲示板などの入力内容がそのまま表示されるWebサイトに、利用者のブラウザ上で実行される不正なスクリプトを埋め込み、閲覧者のCookieなどを盗もうとする攻撃はどれか。
閲覧者のブラウザで不正スクリプトを実行させて情報を盗む攻撃。
大量の通信を送りつけてサービスを停止させるDoS攻撃のこと。
他人のIDで権限なくシステムへログインする不正アクセス。
公衆網の上に暗号化した通信路を作るVPNのことである。
正解
閲覧者のブラウザで不正スクリプトを実行させて情報を盗む攻撃。

クロスサイトスクリプティング(XSS)は、入力内容の無害化が不十分なサイトに不正なスクリプトを埋め込み、それを閲覧した利用者のブラウザ上で実行させてCookie窃取や偽画面表示を行う攻撃である。

?選択肢ごとの解説

ア ○クロスサイトスクリプティング(XSS)は、入力内容の無害化が不十分なサイトに不正なスクリプトを埋め込み、それを閲覧した利用者のブラウザ上で実行させてCookie窃取や偽画面表示を行う攻撃である。
イ ×DoS攻撃は可用性を奪う攻撃で、閲覧者のブラウザで不正スクリプトを動かす本問のXSSとは狙いが異なる。
ウ ×不正アクセスは権限外の侵入で、サイト経由で閲覧者を狙うXSSとは攻撃の対象が異なる。
エ ×VPNは通信路の保護技術で、スクリプトを注入する攻撃である本問とは正反対の概念である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0022

【情報セキュリティマネジメント試験】クロスサイトスクリプティングの問題と解答・解説|ukamiru 過去問