Web保護

情報セキュリティマネジメント試験出力の無害化」の問題

情報セキュリティ対策・実装技術Web保護難易度:hard
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。 会員が入力した内容をそのまま画面に表示する機能で、不正なスクリプトを埋め込まれ、閲覧者の情報を盗まれるおそれが見つかった。根本的な対策はどれか。
入力欄の枠の色を目立たせて利用者に注意を促すこと。
サーバの処理性能を増強して表示を速くしておくこと。
表示時に特殊文字を無害化する出力エスケープを行う。
会員への通知メールの文面を丁寧に書き直しておくこと。
正解
表示時に特殊文字を無害化する出力エスケープを行う。

入力をそのまま表示するとXSS(クロスサイトスクリプティング)の脆弱性になる。表示(出力)時に特殊文字をエスケープして無害化すれば、埋め込まれたスクリプトが実行されず、閲覧者の情報窃取を防げる。

?選択肢ごとの解説

ア ×枠の色の変更は見た目の話で、スクリプト注入を防ぐ本問の根本対策とは無関係である。
イ ×性能増強は速度の話で、不正スクリプトの実行を防ぐ本問の根本対策とは異なる。
ウ ○入力をそのまま表示するとXSS(クロスサイトスクリプティング)の脆弱性になる。表示(出力)時に特殊文字をエスケープして無害化すれば、埋め込まれたスクリプトが実行されず、閲覧者の情報窃取を防げる。
エ ×文面の改善は連絡の話で、閲覧者の情報窃取を防ぐ本問の根本対策とは関係がない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0007

【情報セキュリティマネジメント試験】出力の無害化の問題と解答・解説|ukamiru 過去問