平成24年度 技術士第一次試験問題【専門科目】
【16】情報工学部門
W−20
ウェブアプリケーションの脆弱性を突くクロスサイト・スクリプティング攻撃への対策として、
最も適切なものはどれか。
 @ HTTPレスポンスへッダのContent-Typeフィールドに文字コード (charset) を
   指定する。
 A ウェブアプリケーションに渡されるパラメタにSQL文を直接指定しない。
 B 外部からのパラメタでウェブサーバ内のファイル名を直接指定する実装を避ける。
 C シェルを起動できる言語機能を利用する場合は、その引数を構成するすべての
   変数に対してチェックを行い、あらかじめ許可した処理のみを実行する。
 D ログイン成功後に、既存のセッションIDとは別に秘密情報を発行し、ページの遷移
   ごとにその値を確認する。



【正解】 @
クロスサイトスクリプティング (Cross Site Scripting = XSS) は、ウェブアプリケーションに
スクリプトを埋め込むことが可能な脆弱性がある場合、その脆弱性を悪用して不正な
スクリプトを利用者ブラウザ上で実行する攻撃である。
@正しい。
ASQLインジェクションへの対策である。
 
SQLインジェクションは、ウェブアプリケーションにDB処理の脆弱性がある場合、
 悪意のある命令文をDBへ送信して、DB中のデータを不正に取得したり、
 改ざんしたりする攻撃である。
Bディレクトリ・トラバーサルへの対策である。

 ディレクトリ・トラバーサル
は、ウェブサイトのページを指定するパスに ../ などの細工を
 行うことで、本来アクセスを禁止しているディレクトリやファイルにアクセスすることである。
COSコマンド・インジェクションへの対策である。
 
OSコマンド・インジェクションは、ユーザからのデータ入力や操作を受付けるような
 ウェブサイトで、OSへのコマンドを引数に指定するなどして、不正に操作する攻撃のこと。
Dセッションの発行や管理の不備をつく攻撃への対策である。


EXCELのマクロのご相談なら ファーストマクロ 



W−19 目次 W−21
ファーストマクロ TOPページ