令和3年度ITストラテジスト試験の過去問解説連載です。
この記事では午前2 第23問を解説します。
問23:セキュリティに関する問題
格納型クロスサイトスクリプティング(Stored XSS又はPersistent XSS)攻撃に該当するものはどれか。
ア Webサイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行うことによって、その後に該当掲示板を閲覧した利用者のWebブラウザで、攻撃用スクリプトが実行された。
イ Webブラウザへの応答を生成する処理に脆弱性のあるWebサイトに向けて、不正なJavaScriptコードを含むリクエストを送信するリンクを攻撃者が用意し、そのリンクを利用者がクリックするように仕向けた。
ウ 攻撃者が、乗っ取った複数のPC上でスクリプトを実行して大量のリクエストを攻撃対象のWebサイトに送り付け、サービス不能状態にした。
エ 攻撃者がスクリプトを使って、送信元IPアドレスを攻撃対象のWebサイトのIPアドレスに偽装した大量のDNSリクエストを多数のDNSサーバに送信することによって、大量のDNSレスポンスを攻撃対象のWebサイトに送り付けられた。
イ Webブラウザへの応答を生成する処理に脆弱性のあるWebサイトに向けて、不正なJavaScriptコードを含むリクエストを送信するリンクを攻撃者が用意し、そのリンクを利用者がクリックするように仕向けた。
ウ 攻撃者が、乗っ取った複数のPC上でスクリプトを実行して大量のリクエストを攻撃対象のWebサイトに送り付け、サービス不能状態にした。
エ 攻撃者がスクリプトを使って、送信元IPアドレスを攻撃対象のWebサイトのIPアドレスに偽装した大量のDNSリクエストを多数のDNSサーバに送信することによって、大量のDNSレスポンスを攻撃対象のWebサイトに送り付けられた。
解説
クロスサイトスクリプティングとは
クロスサイトスクリプティング(XSS)とは、WEBサイトの脆弱性を利用して罠(別なサイトに誘導/リダイレクトするスクリプト)を仕掛け、遷移先で個人情報を抜き取るなどの攻撃をさします。
XSSをもう少し細かく分けると、格納型XSS、DOMベースXSSなどに分けることができます。
格納型XSSは、WEBページ側に悪意のあるスクリプトを仕込んでおく手法です。WEBページがリクエストを適切に処理せずレスポンスを返すことで、アクセスするユーザすべてに攻撃をします。
DOMベースXSSは、クライアント側で処理を実行するときに悪意のあるコードが混入することで攻撃を受ける形態です。主に動的にHTMLを生成するJava Scriptで発生することが多いです。
ア
格納型XSSです。
イ
Java Scriptはクライアント側で処理されるコードなので、DOMベースXSSと判断できます。
ウ
大量のリクエストを送りつけて、対象のサービスを利用不能にするのはDoS(Denial of Service)攻撃です。この選択肢では「複数のPCを乗っ取って」いるので、DDoS(Distributede Denial of Service)攻撃であることがわかります。
エ
送信元を偽装したリクエストを用いて、攻撃対象に大量のDNSレスポンスを送りつける攻撃はDNSリフレクション攻撃やDNSアンプ攻撃と呼ばれます。
関連記事
令和3年度 ITストラテジスト午前2 全問リンク
問1 問2 問3 問4 問5 問6 問7 問8 問9 問10
問11 問12 問13 問14 問15 問16 問17 問18 問19 問20
問21 問22 問23 問24 問25
コメント