HOME
Lv004

「Lv004」の記事一覧

XSS脆弱性を利用してブラウザをフックし、高度な攻撃を行うためのペネトレーションテストツールはどれか。

BeEF（The Browser Exploitation Framework）は、XSSホールを通じてWebブラウザを制御下に置き、内部ネッ…

2026年3月10日

CSRF対策としてCookieに設定できる属性で、クロスサイトのリクエスト時にCookieを送信しないように制限するものはどれか。

SameSite属性（StrictまたはLax）を設定すると、他サイトからのリンクやリクエストに対してCookieが送信さ…

2026年3月10日

CSRF攻撃を防ぐために、フォーム送信時にサーバーが発行した推測困難な値をhiddenフィールドに含めて検証する仕組みはどれか。

アンチCSRFトークン（ワンタイムトークン）をリクエストに含めることで、攻撃者が作成した偽のリクエスト…

2026年3月10日

ログイン済みのユーザーに対し、意図しない操作（送金、パスワード変更等）を行わせる攻撃手法はどれか。

CSRF（クロスサイトリクエストフォージェリ）は、認証済みユーザーのブラウザから、ユーザーの意図しない…

2026年3月10日

XSSを防ぐために、ユーザーからの入力に含まれる `<` や `>` などの特殊文字を `<` や `>` に変換する処理を何と呼ぶか。

サニタイズ（またはHTMLエスケープ）は、特殊文字を無害な文字参照に変換し、ブラウザがスクリプトとして…

2026年3月10日

サーバーとの通信を伴わず、クライアントサイドのJavaScriptがURLのフラグメント（#以降）などを不適切に処理することで発生するXSSはどれか。

DOM-based XSSは、レスポンス内のHTML自体は正常でも、ブラウザ上のDOM操作によってスクリプトが生成・実…

2026年3月10日

XSS攻撃において、攻撃者が被害者のセッションIDを取得するために頻繁に使用するJavaScriptのオブジェクトプロパティはどれか。

document.cookieプロパティを参照することで、HttpOnly属性がない場合にセッションCookieを含むすべてのCo…

2026年3月10日

データベースや掲示板などに悪意のあるスクリプトが保存され、そのページを閲覧したすべてのユーザーに対してスクリプトが実行される攻撃はどれか。

Stored XSS（蓄積型XSS）は、サーバー側にスクリプトが永続的に保存されるため、被害範囲が広く持続的な影…

2026年3月10日

Webページが読み込むことのできるリソース（スクリプト、画像等）の送信元を制限し、XSSの影響を軽減するHTTPヘッダーはどれか。

CSP（Content Security Policy）は、実行可能なスクリプトのドメインなどをホワイトリスト化し、未許可の…

2026年3月10日

攻撃者が用意した悪意のあるスクリプトを含むURLを被害者にクリックさせ、被害者のブラウザ上でスクリプトを実行させる攻撃はどれか。

Reflected XSS（反射型XSS）は、リクエストに含まれたスクリプトが即座にレスポンスとして反射され、被害…

2026年3月10日