クロスサイトスクリプティングとは？情報処理問題集|DBスペシャリスト午前問題より

情報処理技術者試験から不定期に１題出題、解説いたします。

試験を受けない人にとっても役に立つ解説を心掛けていきます。

 

問題

1. Webアプリケーションのフォームの入力フィールドに，悪意のあるJavaScriptコードを含んだデータを入力する。
2. インターネットなどのネットワークを通じてサーバに不正にアクセスしたり，データの改ざんや破壊を行ったりする。
3. 大量のデータをWebアプリケーションに送ることによって，用意されたバッファ領域をあふれさせる。
4. パス名を推定することによって，本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

正解は

1が正解

クロスサイトスクリプティングとは

クロスサイトスクリプティング( ※以下、XSS）とは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。

動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。

標的になったサイトとは別のサイトに情報を送信（クロス）することから、この名前で呼ばれるようになりました

 

 

特徴

XSS脆弱性のあるWebサイトにユーザを誘導することにより、ユーザ環境で不正スクリプトを実行させることができます

 

被害内容

サイト攻撃者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ、利用者が被害にあう。

ブラウザ上でスクリプトを実行され、サイト利用者の権限でWebアプリケーションの機能を利用される。

Webサイト上に偽の入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる。

 

 

まとめ

今日の問題はいかがでしょうか。

今回は、クロスサイトスクリプティングについて解説させていただきました。

試験ではポイントとなるキーワードを見つけ、ピンポイントで正答を判断しましょう