Webアプリケーションのセッションが攻撃者に乗っ取られ、攻撃者が乗っ取ったセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをURLに設定する。 |
| エ | パスワードによる利用者認証を行う。 |
答え エ
【解説】
セッションが攻撃者に乗っ取られるセッションハイジャックが起きたとき、Webアプリケーションが重要な情報をWebブラウザに送信しても情報漏えいが発生しないようにするには、重要な情報を送信する前に、利用者が正当なことを確認するパスワードによる利用者認証を行う(エ)ことが有効です。
【キーワード】
・セッションハイジャック
- セッションハイジャック(session hijacking)
ネットワーク上で一対の機器間で交わされる一連の通信(セッション)を途中で乗っ取り、片方になりすましてもう一方から不正にデータを詐取したり、不正な操作を行なう攻撃です。
もっと、「セッションハイジャック」について調べてみよう。
戻る
一覧へ
次へ