格納型クロスサイトスクリプティング(Stored XSS又はPersistent XSS)攻撃に該当するものはどれか。
ア | Webサイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行い、その後に該当掲示板を閲覧した利用者のWebブラウザで、攻撃用スクリプトが実行された。 |
イ | Webブラウザへの応答を生成する処理に |
ウ | 攻撃者が、乗っ取った複数のPC上でスクリプトを実行して大量のリクエストを攻撃対象のWebサイトに送り付け、サービス不能状態にした。 |
エ | 攻撃者がスクリプトを使って、送信元IPアドレスを攻撃対象のWebサイトのIPアドレスに偽装した大量のDNSリクエストを多数のDNSサーバに送信することによって、大量のDNSレスポンスを攻撃対象のWebサイトに送り付けるようにした。 |
答え ア
【解説】
格納型クロスサイトスクリプティング(Stored XSS又はPersistent XSS)攻撃は、あらかじめ、Webサーバ側に不正なスクリプトを保存しておく攻撃手法で、脆弱性のあるWebページが、データを適切に処理しないまま、ユーザーにレスポンスを返すことで、すべてのユーザーが攻撃対象となり、アクセスする度に攻撃スクリプトが実行されます。
クロスサイトスクリプティングには格納型クロスサイトスクリプティングのほかに、攻撃者が脆弱性のあるサイトの掲示板などに悪意のあるデータを書き込んで格納しておき、これを利用者が表示する際に悪意のあるスクリプトが実行される“反射型クロスサイトスクリプティング”(Refrected XSS)、サーバ側ではなく、クライアント側で動的に JavaScript で HTML 生成を行う際に、悪意のあるスクリプトが埋め込まれてしまう“DOMベースクロスサイトスクリプティング”(DOM Based XSS)があります。
【キーワード】
・クロスサイトスクリプティング