2021年06月27日

令和3年度春期 応用情報技術者試験問題 問37

問37

Webサイトにおいて、クリックジャッキング攻撃の対策に該当するものはどれか。

ア HTTPレスポンスヘッダに X-Content-Type-Optionsを設定する。

イ HTTPレスポンスヘッダに X-Frame-Optionsを設定する。

ウ 入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える。

エ 入力文字数が制限を超えているときは受け付けない。





正解


解説

ア クロスサイトスクリプティングの対策に該当する。クロスサイトスクリプティング (Cross Site Scripting = XSS) は、Webアプリケーションにスクリプトを埋め込むことが可能な脆弱性がある場合、その脆弱性を悪用して不正なスクリプトを利用者ブラウザ上で実行する攻撃である。

イ 正しい。クリックジャッキングは、該当する機能がマウス操作のみで使用可能な場合に、隠蔽や偽装したボタンなどが設置された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させる攻撃である。

ウ サニタイジングの説明であり、SQLインジェクションや、クロスサイトスクリプティングの対策に該当する。

エ バッファオーバーフロー攻撃の対策に該当する。バッファオーバーフロー (BOF) 攻撃は、Webアプリケーションのメモリ操作に脆弱性がある場合、メモリ領域を越えてメモリを上書し、悪意のあるコードを実行させてプログラムを誤動作させる攻撃である。

posted by ファーストマクロ at 07:30| Comment(0) | R03春応用情報技術者
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。