資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

SC 情報セキュリティ㉑

 

 セッションIDの固定化(Session Fixation)攻撃の手口はどれか。

  1. HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて,HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。
  2. URLパラメタにセッションIDを格納するWebサイトにおいて,Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを,悪意のある者が盗用する。
  3. 悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。
  4. 推測が容易なセッションIDを生成するWebサイトにおいて,悪意のある者がセッションIDを推測し,ログインを試みる。

解答・解説

解答

 ウ

解説

  1. HTTPS通信でSecure属性がないCookieにセッションIDを格納するWebサイトにおいて,HTTP通信で送信されるセッションIDを悪意のある者が盗聴する。
    セッションハイジャックの手口です。

  2. URLパラメタにセッションIDを格納するWebサイトにおいて,Refererによってリンク先のWebサイトに送信されるセッションIDが含まれたURLを,悪意のある者が盗用する。
    セッションハイジャックの手口です。

  3. 悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。
    正しいです。
    セッションIDの固定化(Session Fixation)攻撃の手口です。

  4. 推測が容易なセッションIDを生成するWebサイトにおいて,悪意のある者がセッションIDを推測し,ログインを試みる。
    セッションハイジャックの手口です。

参考情報

分野・分類
分野 テクノロジ系
大分類 技術要素
中分類 セキュリティ
小分類 情報セキュリティ
出題歴
  • SC 平成29年度春期 問5

前問 一覧 次問