クロスサイトリクエストフォージェリ攻撃の対策として、効果がないものはどれか。
| ア | Webサイトでの決済などの重要な操作の都度、利用者のパスワードを入力させる。 |
| イ | Webサイトへのログイン後、HTTPレスポンスに含めた秘密のカギと、Webブラウザから送付される値とを、Webサーバ側で照合する。 |
| ウ | Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。 |
| エ | WebブラウザからのリクエストをWebサーバで受け付けた際に、リクエストに含まれる“<”や“>”などの特殊文字を、“<”や“>”などの文字列に置き換える。 |
答え エ
【解説】
| ア | Webサイトでの決済などの重要な操作の都度、利用者のパスワードを入力させるのは、クロスサイトリクエストフォージェリ攻撃の対策として有効です。(×) |
| イ | ebサイトへのログイン後、HTTPレスポンスに含めた秘密のカギと、Webブラウザから送付される値とを、Webサーバ側で照合するのは、クロスサイトリクエストフォージェリ攻撃の対策として有効です。(×) |
| ウ | Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認するのは、クロスサイトリクエストフォージェリ攻撃の対策として有効です。(×) |
| エ | WebブラウザからのリクエストをWebサーバで受け付けた際に、リクエストに含まれる“<”や“>”などの特殊文字を、“<”や“>”などの文字列に置き換えるサニタイジング(sanitizing、無毒化)は、クロスサイトリクエストフォージェリ攻撃の対策として効果がありません。(〇) |
【キーワード】
・クロスサイトリクエストフォージェリ
- クロスサイトリクエストフォージェリ(cross-site request forgeries、CSRF)
Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことで、掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。
もっと、「クロスサイトリクエストフォージェリ」について調べてみよう。
戻る
一覧へ
次へ