攻撃者が、Webアプリケーションのセッションを乗っ取り、そのセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、重要な情報の表示などをする画面の直前でWebアプリケーションが追加的に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをHTTPレスポンスボディ中のリンク先のURLのクリア文字列に設定する。 |
| エ | パスワードによる利用者認証を行う。 |
答え エ
【解説】
セッションが攻撃者に乗っ取られるセッションハイジャックが起きたとき、Webアプリケーションが重要な情報をWebブラウザに送信しても情報漏えいが発生しないようにするには、重要な情報を送信する前に、利用者が正当なことを確認するパスワードによる利用者認証を行う(エ)ことが有効です。
【キーワード】
・セッションハイジャック
- セッションハイジャック(session hijacking)
ネットワーク上で一対の機器間で交わされる一連の通信(セッション)を途中で乗っ取り、片方になりすましてもう一方から不正にデータを詐取したり、不正な操作を行なう攻撃です。
もっと、「セッションハイジャック」について調べてみよう。
戻る
一覧へ
次へ