本文へスキップ

技術士試験(情報工学部門)・情報技術者試験。ファーストマクロ。


Since 2016.4.19

平成30年度 秋期 高度情報技術者試験問題と解説

問13

クロスサイトスクリプティング対策に該当するものはどれか。

ア WebサーバでSNMPエージェントを常時稼働させることによって、攻撃を検知する。

イ WebサーバのOSにセキュリティパッチを適用する。

ウ Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する。

エ 許容量を超えた大きさのデータをWebページに入力することを禁止する。


正解


解説

ア 不正アクセス対策などに該当する。
SNMP (Simple Network Management Protocol) は、TCP/IP環境で、構成機器や障害時の情報収集を行うために使用されるネットワーク管理プロトコルである。
不能にする攻撃のことである。

イ コマンドインジェクション攻撃対策や不正アクセス対策などに該当する。
コマンドインジェクション攻撃は、被害者が想定していないパラメータを渡すことで、悪意のあるコマンドを実行させる攻撃のことである。

ウ 正しい。クロスサイトスクリプティング (Cross Site Scripting = XSS) は、Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性がある場合、その脆弱性を悪用して不正なスクリプトを利用者ブラウザ上で実行する攻撃である。

エ バッファオーバーフロー攻撃対策に該当する。
バッファオーバーフロー (BOF) 攻撃は、Webアプリケーションのメモリ操作に脆弱性がある場合、メモリ領域を越えてメモリを上書し、悪意のあるコードを実行させてプログラムを誤動作させる攻撃である。

問12 目次 問14