平成30年 秋期 システムアーキテクト 午前II 問23

格納型クロスサイトスクリプティング(Stored XSS又はPersistent XSS)攻撃に該当するものはどれか。

 ア  Webサイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行い、その後に該当掲示板を閲覧した利用者のWebブラウザで、攻撃用スクリプトが実行された。
 イ  Webブラウザへの応答を生成する処理に(ぜい)弱性のあるWebサイトに対して、不正なJavaScriptコードを含むリクエストを送信するリンクを攻撃者が用意し、そのリンクを利用者がクリックするように仕向けた。
 ウ  攻撃者が、乗っ取った複数のPC上でスクリプトを実行して大量のリクエストを攻撃対象のWebサイトに送り付け、サービス不能状態にした。
 エ  攻撃者がスクリプトを使って、送信元IPアドレスを攻撃対象のWebサイトのIPアドレスに偽装した大量のDNSリクエストを多数のDNSサーバに送信することによって、大量のDNSレスポンスを攻撃対象のWebサイトに送り付けるようにした。


答え ア


解説
格納型クロスサイトスクリプティング(Stored XSS又はPersistent XSS)攻撃は、あらかじめ、Webサーバー側に不正なスクリプトを保存しておく攻撃手法で。脆弱性のあるWebページが、データを適切に処理しないまま、ユーザーにレスポンスを返すことで、すべてのユーザーが攻撃対象となり、アクセスする度に攻撃スクリプトが実行されます。
クロスサイトスクリプティングには格納型クロスサイトスクリプティングのほかに、攻撃者が脆弱性のあるサイトの掲示板などに悪意のあるデータを書き込んで格納しておき、これを利用者が表示する際に悪意のあるスクリプトが実行される“反射型クロスサイトスクリプティング”(Refrected XSS)、サーバ側ではなく、クライアント側で動的に JavaScript で HTML 生成を行う際に、悪意のあるスクリプトが埋め込まれてしまう“DOMベースクロスサイトスクリプティング”(DOM Based XSS)があります。


キーワード
・クロスサイトスクリプティング

キーワードの解説
  • クロスサイトスクリプティング(Cross Site Scripting、XSS)
    Webサイトの掲示板などのようにユーザが入力したデータをそのまま表示するシステムで、ユーザが悪意のあるコード(スクリプト)を入力して、他のユーザがページを閲覧すると、ユーザのコンピュータ上で悪意のあるコードが実行されてしまうことです。
    もっと、「クロスサイトスクリプティング」について調べてみよう。

    戻る 一覧へ 次へ