「応用情報技術者試験/平成30年秋期午前問41」

問題

出典:応用情報技術者令和平成30年秋期午前問41

クロスサイトスクリプテイング対策に該当するものはどれか。

ア:WebサーバでSNMPエージェントを常時稼働させることによって、攻撃を検知する。
イ:WebサーバのOSにセキュリティパッチを適用する。
ウ:Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する。
エ:許容量を超えた大きさのデータをWebページに入力することを禁止する。

解説

クロスサイトスクリプティングとは、
サイトと交わってスクリプトを書くことである。そういう攻撃である。

サイトの利用者が自由に入力できて送信できるようなシステムがある。
占いサイトで名前とか誕生日とか入れられるようなシステムである。

だから普通は名前の欄には名前を書く。

でも悪意のある攻撃者はそこにスクリプトを書く。
スクリプトを丸々全部書くのではなく、サイトを構成するスクリプトの構文に合致する形であるスクリプトを書くのである。

利用者のPCから送られるスクリプトと、サイトで構成されているスクリプトを掛け合わせて(クロスさせて)新たなスクリプトを生み出すのである。

これは当然、サイト構築者の意図した形ではない。場合によっては実害が出てしまう。

これを防ぐには、利用者のPCから送られてきた文字をスクリプトとして解釈させない工夫が必要になる。

それに該当する選択肢はウである。

解答

正解:ウ

アドセンス
改行

テックキャンプ