[ 通常表示 ]  [ 簡易表示 ]  [ シンプル表示 ]

「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典イメージぴよ画像「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

出典:平成28年度 秋期 情報セキュリティマネジメント試験(SG) 午前 問22

difficulty難易度設定
スポンサーリンク

予備知識


用語意味
クロスサイトスクリプティング悪い人がホームページにイタズラする→それを見た訪問者が被害に遭う、な流れの悪いこと。もしくは、それが可能になっている状態のこと
Webアプリケーションインターネットを介して使うソフト
入力フィールドいわゆる「入力欄」をITっぽい雰囲気にした用語
JavaScriptホームページに動きをつけるときに使われる(簡易的な)プログラミング言語
サーバサービスや機能を提供する側のコンピュータ
バッファ一時的にデータを溜めておく記憶場所
パスファイルフォルダの場所

問題


問題文
クロスサイトスクリプティングの手口はどれか。
ピヨ意訳:クロスサイトスクリプティングの例は、どれ?

解答選択肢
Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
ピヨ意訳:ホームページの入力欄に、ホームページを見たときに実際に実行されてしまう悪い命令を入力する
インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざん・破壊を行ったりする。
ピヨ意訳:ネットワーク経由で不正アクセスしたり、データをおかしくしたりする
大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
ピヨ意訳:データをいっぱい送りつけて、相手をテンパらせる
パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。
ピヨ意訳:URL(ホームページの住所)を直接指定して、本当は見ちゃダメなページに移動する


正解までのつなぎ

正解


正解
Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
ピヨ意訳:ホームページの入力欄に、ホームページを見たときに実際に実行されてしまう悪い命令を入力する

スポンサーリンク

ピヨピヨ解説


クロスサイトスクリプティングは

悪い人がホームページにイタズラする
 ↓
訪問者がホームページを見る
 ↓
被害に遭う


な流れの悪いことです。

例えば、悪い人が掲示板に「これを見たやつのパソコンは爆発する」と書いたとします。
実際にはプログラムっぽい書き方をしていて、見た人のパソコンは本当に爆発します。

ホームページに遊びに来た人が掲示板を見ました。
掲示板には「これを見たやつのパソコンは爆発する」と書いてあります。
見た人のパソコンは爆発します。

見た人は涙目ですね。

このような流れで被害が出る悪いことがクロスサイトスクリプティングです。

ということで「ア:Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する」が正解です。

「悪意のあるJavaScriptコードを含んだデータ」が分からない人は「実際に実行されてしまう悪い命令」と読み替えてください。
先ほどの例であれば「これを見たやつのパソコンは爆発する」な掲示板に書き込んだ内容です。


スポンサーリンク