忍者ブログ
統計、機械学習、AIを学んでいきたいと思います。 お役に立てば幸いです。

【DS検定対策】Webセキュリティ:クロスサイトスクリプティング(XSS)の構造

1. 【 問題 】

Webアプリケーションの脆弱性を利用し、閲覧者のブラウザ上で不正なスクリプトを実行させる攻撃を「クロスサイトスクリプティング(XSS)」と呼びます。

この攻撃によって引き起こされる被害として、適切なものはどれでしょうか?

① 閲覧者のブラウザに保存されているクッキー(セッション情報)が盗まれる
② 閲覧者のブラウザ上で、偽の入力フォームが表示され情報が入力させられる
③ 閲覧者の権限を利用して、Webサイト上で意図しない操作を行わされる
④ 上記のすべて

2. 【 解答 】

正解: ④ 上記のすべて

3. 【 図解 】:XSSの攻撃構造

攻撃者がWebサイトの脆弱な箇所(入力フォーム等)に悪意のあるスクリプトを仕込み、それを「閲覧者のブラウザ」に実行させるのが特徴です。

[ 攻撃のフェーズ ]

1. スクリプトの注入
 → 掲示板や検索窓などに <script> タグなどを送り込む

2. スクリプトの実行
 → 罠のページを踏んだ一般ユーザーのブラウザでスクリプトが動く

3. 情報の奪取・操作
 → Cookieを攻撃者のサーバへ送信したり、偽画面を表示したりする

--------------------------

攻撃対象は「Webサーバ」ではなく「Webサイトの閲覧者」である点がポイントです。

■ 防御のポイント
1. サニタイジング(無害化): 特別な意味を持つ記号( < や > など)を、別の文字( &lt; や &gt; )に置き換えて、スクリプトとして動作させないようにします。
2. WAFの導入: Web Application Firewallによって、悪意のあるパターンの入力を遮断します。

4. まとめ

DS検定や情報処理試験において、「ブラウザ上でスクリプトを実行」「Cookieの奪取」というキーワードが出たら、クロスサイトスクリプティング(XSS)を正解に選びましょう。コマンドインジェクションとの違いを明確にしておくことが重要です。


PR

【DS検定対策】Webセキュリティ:コマンドインジェクションの脅威

1. 【 問題 】

Webアプリケーションにおいて、OSのシェルを呼び出す際の実装に問題がある場合、攻撃者によって不正なOSのコマンドが実行されることがあります。

その結果、次のような事態を招く攻撃手法はどれでしょうか?
・Webサーバ内部の情報が漏えいする
・別のサーバへの攻撃の踏み台となる

① SQLインジェクション
② OSコマンドインジェクション
③ クロスサイトスクリプティング(XSS)
④ ディレクトリトラバーサル

2. 【 解答 】

正解: ② OSコマンドインジェクション

3. 【 解説 】:コマンドインジェクションの構造

プログラムの隙間(インジェクション)から、OSへの直接的な命令(コマンド)を流し込む攻撃手法です。

[ 被害の及ぶ範囲 ]

1. 機密性の破壊
 → Webサーバ内の設定ファイルや顧客情報の奪取

2. 攻撃の踏み台
 → 乗っ取ったサーバを使い、別の組織を攻撃する

3. 制御の奪取
 → ファイルの削除や、不正なプログラムの設置

--------------------------

OSの制御を直接奪われるため、被害は全方位に及びます。

■ 実装上の注意点
1. 発生原因: 入力文字列を検証せずに、system() や exec() などのシェル呼び出し関数に渡すことで発生します。
2. 根本対策: 可能な限りOSコマンドを直接呼び出す実装を避けること。やむを得ない場合は、特殊文字(; | & ` など)をサニタイズ(無効化)する必要があります。

4. まとめ

DS検定や情報処理試験において、「シェルの呼び出し」「不正なOSコマンド」というキーワードが出たら、コマンドインジェクションを正解に選びましょう。システム全体を危険にさらす恐ろしい攻撃です。

【DS検定対策】セキュリティの3要素を攻略!「CIA」はアメリカの機関だけじゃない?

文字だけで覚えると忘れやすいセキュリティ用語も、インパクトのある略称とセットで整理すれば、驚くほどスッと頭に入ります。この記事では、情報セキュリティの基本中の基本である「3要素(CIA)」について解説します。

1. 問題:セキュリティの3要素

【 問題 】 情報セキュリティの3要素(CIA)に当てはまらないものは、次のうちどれでしょうか?

① 機密性 (Confidentiality) ② 完全性 (Integrity) ③ 可用性 (Availability) ④ 効率性 (Efficiency)

2. 整理:アメリカの機関と同じ?「CIA」の正体

セキュリティの世界には「CIA」という超重要な3要素があります。アメリカの中央情報局(CIA)と同じ略称なので、セットで覚えるのが合格への近道です!

【 セキュリティの世界:CIA 】

[ 3要素の頭文字 ]

1. Confidentiality(機密性)
 → 許可された人だけが見れる「秘密」を守る

2. Integrity(完全性)
 → 改ざんされず「完璧(正しい)」な状態を保つ

3. Availability(可用性)
 → 必要な時に「いつでも(Available)」使える

--------------------------

× 効率性などは、この「CIA」には含まれません。

3. 確認プロセス

1. 機密性(C): 情報を「秘密」に保つこと。パスワード管理や暗号化がこれにあたります。 2. 完全性(I): 情報が「正確(インテリ)」であること。勝手に書き換えられないよう守ります。 3. 可用性(A): サービスを「止めない」こと。いつでも利用可能な状態を維持する力です。

4. DS検定形式:実戦4択クイズ

問:システム障害やサイバー攻撃によって、サービスが停止して使えなくなってしまうことは、セキュリティ3要素のどれが損なわれた状態か。

① 機密性 ② 完全性 ③ 可用性 ④ 効率性

【 正解: ③ 】

解説: 「いつでも使えること」を指すのが「可用性(アベイラビリティ)」です。システムがダウンして使えなくなることは、この可用性が損なわれた状態を指します。

5. まとめ

DS検定では、この「CIA」という言葉が非常によく出てきます!「アメリカの情報機関と同じ名前」として、その3つの柱をセットで覚えておきましょう。



        
  • 1
  • 2
  • 3