- トップページ
- 応用情報技術者
- 平成28年度春季問題一覧
- 平成28年度春季問題41-解答・解説-分析
平成28年度春季問題
問題41
Webアプリケーションのセッションが攻撃者に乗っ取られ、攻撃者が乗っ取ったセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをURLに設定する。 |
| エ | パスワードによる利用者認証を行う。 |
Webアプリケーションのセッションが攻撃者に乗っ取られ、攻撃者が乗っ取ったセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをURLに設定する。 |
| エ | パスワードによる利用者認証を行う。 |
解答:エ
<解説>
セッションを維持するためのセッションID を推測し,正当なブラウザになりすましてWeb サーバに推測したセッションID を送り込み,ブラウザとWeb サーバ間のセッションを乗っ取ってしまう攻撃方法をセッションハイジャックと呼ぶ。
| ア | × | Webブラウザとの間の通信を暗号化するのは、Webブラウザに送信する直前ではなくセッション取得時から行う。 |
| イ | × | 発行済セッションIDをCookieに格納することは、盗聴などによりセッションID を知られる危険がある。 |
| ウ | × | 発行済セッションIDをURLに設定することは、盗聴などによりセッションID を知られる危険がある。 |
| エ | ○ | セッションハイジャックが発生した場合に個人情報の漏えいなどの被害を拡大させないためには,Web アプリケーションが重要な情報をWeb ブラウザに送る前に,パスワードなど利用者しか知らない情報を用いて認証を行うことが有効である。 |
キーワード
- 「セッションハイジャック」関連の過去問題・・・セッションハイジャックとは
- 応用情報技術者 平成28年度(春季) 問41
お問い合わせ
