Webセキュリティ脆弱性クイズ

1 第1問

クロスサイトスクリプティング（XSS）攻撃の主な目的は何ですか？

A データベースへの不正アクセス

B サーバーのOSコマンド実行

C ユーザーのブラウザ上で悪意のあるスクリプトを実行する

D ウェブサーバーのファイルを削除する

2 第2問

クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐための一般的な対策は何ですか？

A 入力値のサニタイズ

B データベースの暗号化

C CSRFトークンの利用

D ファイアウォールの導入

3 第3問

不適切なアクセス制御により、ユーザーが本来アクセス権限のないリソースに直接アクセスできてしまう脆弱性を何と呼びますか？

A セキュリティ設定の不備

B 不適切なオブジェクト参照（IDOR）

C サーバーサイドリクエストフォージェリ (SSRF)

D XML外部エンティティ (XXE)

4 第4問

デフォルトの認証情報が変更されていない、不要なサービスが有効になっている、エラーメッセージに機密情報が含まれるなどの問題は、どの種類の脆弱性に分類されますか？

A インジェクション

B セキュリティ設定の不備

C クロスサイトリクエストフォージェリ (CSRF)

D 不適切なアクセス制御

5 第5問

ウェブアプリケーションがユーザーからの入力値を適切に検証せず、OSコマンドとして実行してしまう脆弱性を何と呼びますか？

A SQLインジェクション

B OSコマンドインジェクション

C LDAPインジェクション

D XPathインジェクション

6 第6問

XMLパーサーが外部エンティティの参照を処理する際に、機密ファイルの読み取りやSSRF攻撃を可能にする脆弱性を何と呼びますか？

A XML外部エンティティ (XXE)

B XMLインジェクション

C SOAPインジェクション

D XPathインジェクション

7 第7問

攻撃者がサーバーサイドのアプリケーションを利用して、そのサーバーがアクセス可能な内部ネットワークや外部の任意のURLへリクエストを送信させる脆弱性を何と呼びますか？

A クライアントサイドリクエストフォージェリ (CSRF)

B サーバーサイドリクエストフォージェリ (SSRF)

C ホストヘッダーインジェクション

D HTTPリクエストスマグリング

8 第8問

2021年版のOWASP Top 10において、最も上位（1位）に位置付けられている脆弱性カテゴリは何ですか？

A 認証の不備 (Broken Authentication)

B インジェクション (Injection)

C アクセス制御の不備 (Broken Access Control)

D セキュリティ設定の不備 (Security Misconfiguration)

9 第9問

Webアプリケーションにおいて、ユーザーの意図しない操作を強制させる攻撃であるCSRF（Cross-Site Request Forgery）を防ぐための、最も一般的で効果的な対策は何ですか？

A 入力値のサニタイジング（無害化）を徹底する。

B Webアプリケーションファイアウォール（WAF）を導入する。

C 各リクエストにCSRFトークン（ワンタイムトークン）を付与し、検証する。

D HTTPSを強制し、通信経路を暗号化する。

10 第10問

SSRF（Server-Side Request Forgery）攻撃によって、攻撃者が引き起こす可能性のある事象として最も適切なものはどれですか？

A ユーザーのブラウザ上で悪意のあるスクリプトが実行され、セッション情報が盗まれる。

B Webアプリケーションが稼働するサーバーから、本来アクセスできない内部ネットワーク上のシステムやサービスに不正にアクセスされる。

C データベースに不正なSQLクエリが挿入され、機密情報が漏洩する。

D 正規ユーザーの認証情報が盗まれ、そのユーザーになりすましてサービスが利用される。

Webセキュリティ 脆弱性クイズ