Webセキュリティ脆弱性クイズ

1 第1問

SQLインジェクション攻撃の主な目的は何ですか？

A クライアント側のスクリプトを実行する

B データベースから不正に情報を取得・改ざんする

C サーバーのOSコマンドを実行する

D ユーザーのセッションを乗っ取る

2 第2問

クロスサイトスクリプティング（XSS）攻撃の主な目的は何ですか？

A データベースのデータを直接操作する

B サーバーのOSコマンドを実行する

C ユーザーのブラウザ上で悪意のあるスクリプトを実行する

D サーバーへのリクエストを偽装する

3 第3問

クロスサイトリクエストフォージェリ（CSRF）攻撃の主な目的は何ですか？

A ユーザーのブラウザ上で任意のスクリプトを実行する

B データベースから機密情報を窃取する

C ログイン中のユーザーに意図しない操作を実行させる

D サーバーのファイルシステムにアクセスする

4 第4問

2021年版OWASP Top 10において、最も上位（A01）に位置付けられている脆弱性のカテゴリは何ですか？

A Injection

B Cryptographic Failures

C Broken Access Control

D Security Misconfiguration

5 第5問

不適切な直接オブジェクト参照（IDOR）とは、どのような脆弱性ですか？

A ユーザーが入力したデータがSQLクエリに直接渡されることで発生する

B ユーザーが直接指定したオブジェクトID（例: ファイル名、レコードID）のアクセス権限が適切にチェックされない

C サーバーが外部から指定されたURLにリクエストを送信してしまう

D ユーザーのブラウザ上で悪意のあるスクリプトが実行される

6 第6問

ウェブサイトの通信を暗号化するために広く使用されているプロトコルは何ですか？

A FTP

B HTTP

C SMTP

D TLS

7 第7問

OSコマンドインジェクション攻撃の主な目的は何ですか？

A データベースのデータを不正に操作する

B ユーザーのブラウザ上でスクリプトを実行する

C ウェブサーバーが動作するOS上で任意のコマンドを実行する

D ユーザーのセッション情報を盗み出す

8 第8問

セッションフィクセーション攻撃とは、どのような攻撃ですか？

A 攻撃者がユーザーのセッションIDを固定し、そのIDでログインさせることでセッションを乗っ取る

B 攻撃者がユーザーのブラウザに悪意のあるスクリプトを埋め込む

C 攻撃者がデータベースからセッション情報を直接窃取する

D 攻撃者がサーバーのセッション管理機能を停止させる

9 第9問

サーバーサイドリクエストフォージェリ（SSRF）攻撃の主な目的は何ですか？

A ユーザーのブラウザから外部サイトへ不正なリクエストを送信させる

B サーバー自身に、内部ネットワークや外部の任意のURLへリクエストを送信させる

C データベースに不正なSQLクエリを挿入する

D サーバーのOS上で任意のコマンドを実行する

10 第10問

XML外部実体参照（XXE）攻撃は、主にどのようなデータを処理するアプリケーションで発生しますか？

A JSONデータ

B XMLデータ

C CSVデータ

D バイナリデータ

Webセキュリティ 脆弱性クイズ