情報処理安全確保支援士試験 令和5年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問1(一部、加工あり)】
[XSS]
XSSの脆弱性は、複数の画面で検出された。開発部Nから、”cookieにHttpOnly属性が付いていると、(d)が禁止される。そのため、cookieが漏えいすることはなく、修正は不要である。”という回答が合った。Zさんは、この回答を受けてY氏に相談し、”XSSを悪用してもcookieを盗めないのは確かである。しかし、⑥XSSを悪用してcookie以外の情報を盗む攻撃があるので、修正が必要である。”と開発部Nに伝えた。
d:HTML内のスクリプトからcookieへのアクセス
「開発部Nから、”cookieにHttpOnly属性が付いていると、(d)が禁止される。」
XSSは、クライアントが入力した内容を表示する構成のWebサイトで、入力値のチェックに不備がある脆弱性を悪用して、攻撃者が用意した悪意のあるスクリプトをクライアントに送り込んで実行させる攻撃です。
これにより、攻撃者は標的サイト上でクライアントが意図しない操作の実行やクライアントのcookieの窃取、また、クライアントを攻撃者の用意した偽サイトに誘導して個人情報やアカウント情報などの窃取が可能となります。
HttpOnly属性とは、cookieに指定できる属性の一つで、クライアント側でHTML内のJavaScriptなどのスクリプトからcookieにアクセスできないようにします。
これにより、XSS攻撃を受けた際に、cookieの内容を読み取られるのを阻止することができます。
下線⑥について、攻撃の手口を、40字以内で答えよ。:偽の入力フォームを表示させ、入力情報を攻撃者サイトに送る手口
「XSSを悪用してもcookieを盗めないのは確かである。しかし、⑥XSSを悪用してcookie以外の情報を盗む攻撃があるので、修正が必要である。」
前の設問で説明したように、cookieの窃取以外に、攻撃者の用意した偽サイトに誘導してで入力フォームを表示させ、情報を窃取することができます。