セキュリティ誤り発見
クロスサイトスクリプティング(XSS)に関する記述のうち、誤っているものはどれか。
A.攻撃者が悪意のあるスクリプトをWebページに埋め込み、閲覧したユーザーのブラウザ上で実行させる攻撃である。
✓ この記述は正しい。XSSは攻撃者が埋め込んだスクリプトをユーザーのブラウザで実行させ、セッション情報の窃取などを行う攻撃である。
B.反射型XSSでは、悪意のあるスクリプトを含むURLをユーザーにクリックさせることで攻撃が成立する。
✓ この記述は正しい。反射型XSSは悪意のあるパラメータを含むURLを踏ませることでサーバがスクリプトを含む応答を返す仕組みである。
C.XSS攻撃の対策として、ユーザーから入力されたデータをHTMLエスケープ処理することが有効である。
✓ この記述は正しい。入力値をHTMLエスケープ処理することで、スクリプトが実行可能なタグとして解釈されることを防げる。
D.格納型XSSはWebサーバのデータベースには影響を与えず、クライアント側のブラウザ内のみで動作する。← 正解
✓ 正解です。この記述が誤りで、正しくは格納型XSSでは悪意のあるスクリプトがデータベースに保存され、他のユーザーがページを閲覧した際に実行される。