攻撃手法・脅威

情報セキュリティマネジメント試験クロスサイトリクエストフォージェリ」の問題

情報セキュリティ全般攻撃手法・脅威難易度:normal
ログイン中の利用者のブラウザを悪用し、本人の意図しない要求をWebサイトへ送らせる攻撃はどれか。
入力欄にデータベースへの命令を巧みに埋め込み不正に情報を取得したり改ざんしたりする手口である。
Webページに不正なスクリプトを埋め込み閲覧した利用者のブラウザ上で実行させてしまう。
利用者のキーボードの入力内容を逐一記録し認証情報などを窃取して外部へ送信する。
認証済み利用者のブラウザを悪用し本人が意図しない更新要求を勝手にサイトへ送らせる。
正解
認証済み利用者のブラウザを悪用し本人が意図しない更新要求を勝手にサイトへ送らせる。

CSRF(クロスサイトリクエストフォージェリ)は、利用者がログイン状態のセッションを保持しているのを悪用し、罠サイト経由で本人の意図しない更新要求などを正規サイトへ送信させ、本人が行ったかのように処理させる攻撃である。

?選択肢ごとの解説

ア ×SQLインジェクションの説明で、DB操作命令の注入が本質でありセッション悪用とは異なる。
イ ×クロスサイトスクリプティングの説明で、スクリプト実行が主眼で要求の偽造とは別概念である。
ウ ×キーロガーの説明で、入力記録が目的でありブラウザの要求悪用とは無関係である。
エ ○CSRF(クロスサイトリクエストフォージェリ)は、利用者がログイン状態のセッションを保持しているのを悪用し、罠サイト経由で本人の意図しない更新要求などを正規サイトへ送信させ、本人が行ったかのように処理させる攻撃である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-w2-0004

【情報セキュリティマネジメント試験】クロスサイトリクエストフォージェリの問題と解答・解説|ukamiru 過去問