Webセキュリティ脆弱性クイズ基本問題

1 第1問

Webアプリケーションにおいて、ユーザーが入力したデータが適切にエスケープされずにHTMLとして表示されることで、悪意のあるスクリプトが実行される脆弱性の名称は何ですか？

A SQLインジェクション

B クロスサイトスクリプティング (XSS)

C クロスサイトリクエストフォージェリ (CSRF)

D ディレクトリトラバーサル

2 第2問

データベースへの問い合わせ（SQLクエリ）を生成する際に、ユーザーからの入力が適切に処理されず、攻撃者が意図しないSQL文を実行できてしまう脆弱性の名称は何ですか？

A クロスサイトスクリプティング (XSS)

B SQLインジェクション

C セッションハイジャック

D ブルートフォースアタック

3 第3問

ログイン済みのユーザーが、意図しないリクエストを強制的に実行させられる脆弱性の名称は何ですか？攻撃者は、ユーザーが訪問する悪意のあるサイトに細工したリンクやフォームを仕掛けます。

A SQLインジェクション

B クロスサイトリクエストフォージェリ (CSRF)

C サーバーサイドリクエストフォージェリ (SSRF)

D ディレクトリトラバーサル

4 第4問

サーバーが外部のURLにアクセスする機能を持つ場合、そのURLを攻撃者が制御することで、内部ネットワークへのアクセスや機密情報の取得を試みる脆弱性の名称は何ですか？

A クロスサイトスクリプティング (XSS)

B サーバーサイドリクエストフォージェリ (SSRF)

C オープンリダイレクト

D HTTPヘッダーインジェクション

5 第5問

認証情報（パスワードなど）の不適切な管理、セッションIDの予測可能性、多要素認証の欠如などにより、攻撃者が正規ユーザーとしてシステムにアクセスできてしまう脆弱性は、OWASP Top 10では何に分類されますか？

A インジェクション

B 認証の不備 (Broken Authentication)

C 機微な情報の露出

D セキュリティ設定の不備

6 第6問

ユーザーが直接アクセスするオブジェクト（ファイル、データベースレコードなど）の識別子を、適切な権限チェックなしに変更することで、他のユーザーのデータにアクセスできてしまう脆弱性の名称は何ですか？

A セッションフィクセーション

B 不適切なアクセス制御 (Broken Access Control)

C ブルートフォースアタック

D クリックジャッキング

7 第7問

デフォルトの認証情報が変更されていない、不要なサービスが有効になっている、エラーメッセージが詳細すぎるなど、サーバーやアプリケーションの設定ミスによって生じる脆弱性の名称は何ですか？

A XML外部実体参照 (XXE)

B セキュリティ設定の不備 (Security Misconfiguration)

C 不適切なロギングと監視

D 安全でないデシリアライゼーション

8 第8問

Webアプリケーションのセキュリティリスクをまとめた、非営利団体OWASPが公開しているリストの名称は何ですか？

A CVE (Common Vulnerabilities and Exposures)

B OWASP Top 10

C CVSS (Common Vulnerability Scoring System)

D NVD (National Vulnerability Database)

9 第9問

Webアプリケーションにおいて、ユーザーからの入力データが想定された形式や範囲に合致しているかを確認し、不正な入力を排除する処理を一般的に何と呼びますか？

A 出力エンコーディング

B 入力検証 (Input Validation)

C セッション管理

D 認証

10 第10問

WebサイトがHTTPS接続のみを許可することをブラウザに強制し、中間者攻撃によるダウングレード攻撃を防ぐためのHTTPレスポンスヘッダーの名称は何ですか？

A Content-Security-Policy (CSP)

B X-Frame-Options

C Strict-Transport-Security (HSTS)

D X-Content-Type-Options

Webセキュリティ脆弱性クイズ 基本問題