応用情報技術者平成30年春期 午前問37
クロスサイトスクリプティングの手口はどれか。
1、クロスサイトスクリプティング(XSS)は、 cross site scripting
動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用して、悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを横断してユーザのクッキーや個人情報を盗んだりする攻撃手法です。
XSS脆弱性のあるWebアプリケーションでは、以下の影響を受ける可能性があります。
・サイト攻撃者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキー値を盗まれ、利用者が被害にあう。
・同様にブラウザ上でスクリプトを実行され、サイト利用者の権限でWebアプリケーションの機能を利用される。
・Webサイト上に偽の入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる。
2、クラッキングの手口 Cracking
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざん・破壊を行ったりする。
3、バッファオーバフロー攻撃の手口
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
プログラムが処理するデータを一時的に保持する固定長のメモリ領域が「バッファ」だ。バッファに許容量より多くのデータが書き込まれると、データがあふれる。この脆弱(ぜいじゃく)性を「バッファオーバーフロー」と呼ぶ。攻撃者がバッファオーバーフローを悪用すると、システムで任意のコマンドを実行できるようになる恐れがあるため注意が必要だ。
4、ディレクトリトラバーサル攻撃の手口
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。
ディレクトリトラバーサル (英語: directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。
参照: