2023年秋期情報処理安全確保支援士試験午後大問1 解答確認ページ

(1) XSS脆弱性の種類を解答群の中から選び，記号で答えよ。

あなたの解答

解答なし

模範解答

イ

(2) WebアプリQにおける対策を、30字以内で答えよ。

あなたの解答

解答なし

模範解答

レビュータイトルを出力する前にエスケープ処理を施す。

図3について、入力文字制限を超える長さのスクリプトが実行されるようにした方法を50字以内で答えよ。

あなたの解答

解答なし

模範解答

HTMLがコメントアウトされ一つのスクリプトになるような投稿を複数回に分けて行った。

(1) 図4の6～20行目の処理の内容を，60字以内で答えよ。

あなたの解答

解答なし

模範解答

XHRのレスポンスから取得したトークンとともに，アイコン画像としてセッション IDをアップロードする。

(2) 攻撃者は，図4のスクリプトによってアップロードされた情報をどのようにして取得できるか。取得する方法を，50字以内で答えよ。

あなたの解答

解答なし

模範解答

会員のアイコン画像をダウンロードして，そこからセッション IDの文字列を取り出す。

(3) 攻撃者が(2)で取得した情報を使うことによってできることを，40字以内で答えよ。

あなたの解答

解答なし

模範解答

ページVにアクセスした会員になりすまして，WebアプリQの機能を使う。

仮に、攻撃者がドメインのサイトに図4と同じスクリプトを含むHTMLを準備し、そのサイトにWebアプリQのログイン済み会員がアクセスしたとしても、Webブラウザの仕組みによって攻撃は機能しない。この仕組みを40字以内で答えよ。

あなたの解答

解答なし

模範解答

スクリプトから別ドメインのURLに対してcookieが送られない仕組み