応用情報技術者試験平成30年春午前問37 解説付き過去問

問題

クロスサイトスクリプティングの手口はどれか。

Webアプリケーションのフォームの入力フィールドに、悪意のあるJavaScriptコードを含んだデータを入力する。

インターネットなどのネットワークを通じてサーバに不正にアクセスしたり、データの改ざんや破壊を行ったりする。

大量のデータをWebアプリケーションに送ることによって、用意されたバッファ領域をあふれさせる。

パス名を推定することによって、本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

この問題は、クロスサイトスクリプティング（XSS）と呼ばれる一般的なウェブセキュリティの脅威について問うものです。クロスサイトスクリプティングは、悪意のあるスクリプトがウェブページに注入され、最終的に他のユーザーのブラウザで実行される攻撃手法です。

クロスサイトスクリプティング（XSS）の基本
クロスサイトスクリプティングは、攻撃者がウェブアプリケーションのセキュリティが緩い入力フィールドを利用して、悪意のあるスクリプトを注入する手法です。これにより、他のユーザーがそのウェブページを訪れた際に、注入されたスクリプトが実行され、セッションハイジャックやデータ盗難などの攻撃が可能となります。
他の選択肢との比較
他の選択肢は、インターネットを通じた不正アクセス、バッファオーバーフローや不正アクセスによるページジャンプなど、異なるセキュリティ脅威を指します。これらはクロスサイトスクリプティング（XSS）とは異なる攻撃手法であり、悪意のあるスクリプトの注入とは無関係です。

したがって、正解は「Webアプリケーションのフォームの入力フィールドに、悪意のあるJavaScriptコードを含んだデータを入力する」という選択肢です。この選択肢がXSS攻撃の典型的な手法を正確に表しているため、他の選択肢よりも適切です。