セキュリティ応用問題
Webアプリケーションにおいて、ユーザが入力したデータをそのままHTMLに出力している箇所が発見された。攻撃者がこの脆弱性を悪用してJavaScriptコードを埋め込んだ場合、被害を受ける可能性が最も高いのは誰か。
A.Webサーバ自体がマルウェアに感染し、サービスが停止する
✗ これはDDoS攻撃やワーム感染の影響であり、XSSの直接的な被害ではありません。
B.その悪意あるページを閲覧した一般ユーザのブラウザ上でスクリプトが実行され、セッション情報などが盗まれる← 正解
✓ 正解です。XSS攻撃では、被害者のブラウザ上でスクリプトが実行され、Cookieやセッショントークンが窃取される典型的な被害が発生します。
C.データベースサーバへの不正アクセスが発生し、全データが削除される
✗ データベースへの不正操作はSQLインジェクション攻撃の被害であり、XSSとは異なります。
D.DNSサーバのキャッシュが汚染され、ドメイン名が偽サイトに誘導される
✗ DNSキャッシュポイズニングはDNSプロトコルを悪用した攻撃であり、XSSとは無関係です。