【笑える!?】Webセキュリティ脆弱性診断珍回答クイズ！

1 第1問

SQLインジェクション攻撃を防ぐための対策として、最も適切なものはどれですか？

A すべてのSQLクエリを手動で記述する

B プリペアドステートメント（プレースホルダ）を使用する

C データベースのrootアカウントを使用しない

D エラーメッセージを非表示にする

2 第2問

クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐための一般的な対策はどれですか？

A HTTPSを使用する

B CAPTCHAを実装する

C CSRFトークンを使用する

D Cookieの有効期限を短くする

3 第3問

OWASPが公開しているWebアプリケーションのセキュリティリスクに関するドキュメントは何ですか？

A NIST Cybersecurity Framework

B OWASP Top 10

C PCI DSS

D ISO 27001

4 第4問

クリックジャッキング攻撃を防ぐためのHTTPレスポンスヘッダーは何ですか？

A Content-Security-Policy

B X-Frame-Options

C Strict-Transport-Security

D X-Content-Type-Options

5 第5問

ブルートフォースアタックに対する最も効果的な対策はどれですか？

A 強力なパスワードポリシーの適用

B すべてのユーザーに同じパスワードを使用させる

C パスワードを暗号化せずに保存する

D パスワードの有効期限を設けない

6 第6問

セッションハイジャック攻撃を防ぐために、セッションIDを保護する方法として最も適切なものはどれですか？

A セッションIDをURLに埋め込む

B セッションIDをCookieに保存し、HttpOnly属性とSecure属性を設定する

C セッションIDをクライアントサイドのJavaScriptで生成する

D セッションIDを暗号化せずに保存する

7 第7問

ディレクトリトラバーサル攻撃を防ぐための対策として、最も適切なものはどれですか？

A すべてのファイルへのアクセスを許可する

B ユーザーからのファイルパス入力を検証し、許可されたディレクトリのみにアクセスを制限する

C ファイル名を暗号化する

D エラーメッセージを詳細に表示する

8 第8問

HTTP Strict Transport Security (HSTS) は、どのような攻撃を防ぐのに役立ちますか？

A SQLインジェクション

B 中間者攻撃 (Man-in-the-Middle)

C クロスサイトスクリプティング (XSS)

D ブルートフォースアタック

9 第9問

Webアプリケーションの脆弱性診断において、動的解析（DAST）の主な目的は何ですか？

A ソースコードを静的に分析して脆弱性を検出する

B 実際にアプリケーションを動作させて、実行時の脆弱性を検出する

C ネットワークトラフィックを監視して異常を検出する

D データベースの構成を分析して脆弱性を検出する

10 第10問

次のうち、HTTPレスポンスヘッダに含まれるContent Security Policy (CSP) の主な目的として正しいものはどれですか？

A サーバーの負荷を軽減すること

B クロスサイトスクリプティング (XSS) 攻撃のリスクを軽減すること

C データベースへの不正アクセスを防止すること

D SSL/TLS証明書の有効期限を管理すること

【笑える!?】Webセキュリティ脆弱性診断 珍回答クイズ！