Webセキュリティ脆弱性クイズ

1 第1問

SQLインジェクション攻撃の主な目的は何ですか？

A クライアント側のブラウザに悪意のあるスクリプトを実行させること。

B データベースから不正に情報を取得したり、データを改ざんしたりすること。

C サーバーに対して大量のトラフィックを送りつけ、サービスを停止させること。

D ユーザーのセッション情報を盗み取り、なりすましを行うこと。

2 第2問

クロスサイトスクリプティング（XSS）攻撃の主な目的は何ですか？

A データベースの構造を解析し、不正なSQLコマンドを実行すること。

B サーバー上のファイルを不正に読み書きすること。

C ユーザーのブラウザ上で悪意のあるスクリプトを実行させ、セッション情報の窃取などを行うこと。

D 認証されていないユーザーが管理者機能にアクセスすること。

3 第3問

クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐための一般的な対策は何ですか？

A 入力値のサニタイズとエスケープ処理を徹底すること。

B データベースへのアクセス権限を最小限にすること。

C 各リクエストに予測困難なトークン（CSRFトークン）を含めること。

D ファイアウォールで不正なIPアドレスからのアクセスをブロックすること。

4 第4問

認証されたユーザーが、本来アクセス権限のない他のユーザーのデータや管理者機能にアクセスできてしまう脆弱性を何と呼びますか？

A SQLインジェクション

B クロスサイトスクリプティング（XSS）

C 認証の不備（Broken Authentication）

D アクセス制御の不備（Broken Access Control）

5 第5問

デフォルトの認証情報が変更されていない、不要なサービスが稼働している、エラーメッセージに機密情報が含まれるなどの問題は、OWASP Top 10のどのカテゴリに分類されますか？

A インジェクション（Injection）

B セキュリティ設定の不備（Security Misconfiguration）

C 脆弱な認証とセッション管理（Broken Authentication and Session Management）

D 既知の脆弱性を持つコンポーネントの利用（Using Components with Known Vulnerabilities）

6 第6問

ウェブサーバー上の特定のディレクトリ外にあるファイル（例: /etc/passwd）を不正に読み取ろうとする攻撃を何と呼びますか？

A コマンドインジェクション

B ディレクトリトラバーサル

C サーバーサイドリクエストフォージェリ（SSRF）

D ファイルアップロードの脆弱性

7 第7問

ウェブアプリケーションがユーザーからの入力値を適切に検証せず、OSコマンドとして実行してしまう脆弱性を何と呼びますか？

A SQLインジェクション

B クロスサイトスクリプティング（XSS）

C コマンドインジェクション

D LDAPインジェクション

8 第8問

攻撃者がサーバーを介して、内部ネットワーク上のリソースや外部の任意のURLにリクエストを送信させる脆弱性を何と呼びますか？

A リモートファイルインクルード（RFI）

B サーバーサイドリクエストフォージェリ（SSRF）

C ローカルファイルインクルード（LFI）

D HTTPヘッダーインジェクション

9 第9問

シリアライズされたオブジェクトを安全でない方法でデシリアライズする際に、リモートコード実行などの脆弱性が生じる可能性のある攻撃はどれですか？

A XML外部実体参照（XXE）

B 不安全なデシリアライゼーション（Insecure Deserialization）

C HTTPパラメータ汚染（HPP）

D セッション固定攻撃（Session Fixation）

10 第10問

アプリケーションが、既知の脆弱性を持つライブラリ、フレームワーク、またはその他のソフトウェアコンポーネントを使用している場合に発生するリスクは、OWASP Top 10のどのカテゴリに分類されますか？

A 不十分なロギングと監視（Insufficient Logging & Monitoring）

B 既知の脆弱性を持つコンポーネントの利用（Using Components with Known Vulnerabilities）