Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。
ア HTTPレスポンスヘッダに X-Content-Type-Optionsを設定する。
イ HTTPレスポンスヘッダに X-Frame-Optionsを設定する。
ウ 入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える。
エ 入力文字数が制限を超えているときは受け付けない。
イ
ア クロスサイトスクリプティングの対策に該当する。クロスサイトスクリプティング (Cross Site Scripting = XSS) は、Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性がある場合、その脆弱性を悪用して不正なスクリプトを利用者ブラウザ上で実行する攻撃である。
イ 正しい。クリックジャッキングは、該当する機能がマウス操作のみで使用可能な場合に、隠蔽や偽装したボタンなどが設置された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させる攻撃である。
ウ サニタイジングの説明であり、SQLインジェクションや、クロスサイトスクリプティングの対策に該当する。
エ バッファオーバーフロー攻撃の対策に該当する。バッファオーバーフロー (BOF) 攻撃は、Webアプリケーションのメモリ操作に脆弱性がある場合、メモリ領域を越えてメモリを上書し、悪意のあるコードを実行させてプログラムを誤動作させる攻撃である。
| 問36 | 目次 | 問38 |