Web脆弱性診断クイズ - プレイ中

1 第1問

SQLインジェクション攻撃において、攻撃者がデータベースから情報を不正に取得するために利用する主な手法はどれか？

A ユーザーインターフェースの改ざん

B 悪意のあるSQLクエリの挿入

C ネットワークトラフィックの傍受

D サーバー設定ファイルの変更

2 第2問

Webアプリケーションの脆弱性であるXSS（クロスサイトスクリプティング）のうち、攻撃スクリプトがデータベースなどに保存され、他のユーザーがその保存されたスクリプトを含むページを閲覧した際に実行されるタイプはどれか？

A 反射型XSS (Reflected XSS)

B 格納型XSS (Stored XSS)

C DOM Based XSS

D 自己XSS (Self-XSS)

3 第3問

CSRF（クロスサイトリクエストフォージェリ）攻撃に対する主要な対策の一つとして広く用いられるものはどれか？

A 入力値のサニタイズ

B HTTP Strict Transport Security (HSTS) の利用

C CSRFトークンの導入

D ファイアウォールの設定強化

4 第4問

2021年版のOWASP Top 10において、最も深刻なリスクとして「A01:2021」に分類されている脆弱性は何か？

A Broken Access Control (アクセス制御の不備)

B Cryptographic Failures (暗号化の失敗)

C Injection (インジェクション)

D Security Misconfiguration (セキュリティ設定の不備)

5 第5問

ユーザーAが、本来アクセス権限のないユーザーBの個人情報ページにURLを直接操作することでアクセスできてしまった。この脆弱性はOWASP Top 10のどのカテゴリに該当するか？

A Injection

B Broken Access Control

C Security Misconfiguration

D Insecure Design

6 第6問

サーバーサイドリクエストフォージェリ（SSRF）攻撃において、攻撃者がターゲットサーバーに何を強制的に実行させようとするか？

A クライアント側のブラウザで悪意のあるスクリプトを実行させる

B サーバー自身が外部または内部の任意のURLへリクエストを送信させる

C データベースから機密情報を直接抽出する

D サーバーのファイルシステムを改ざんする

7 第7問

Webサーバーのデフォルト設定ファイルがそのまま公開されており、機密情報が含まれる可能性のあるディレクトリ一覧が閲覧できてしまう状態は、OWASP Top 10のどのカテゴリに該当するか？

A Injection

B Cryptographic Failures

C Security Misconfiguration

D Insecure Design

8 第8問

脆弱性診断手法のうち、システムに実際に攻撃を仕掛け、脆弱性の悪用可能性やビジネスへの影響度を評価する手法を何と呼ぶか？

A 脆弱性スキャン (Vulnerability Scanning)

B ペネトレーションテスト (Penetration Testing)

C コードレビュー (Code Review)

D セキュリティ監査 (Security Audit)

9 第9問

Webアプリケーションにおけるセキュリティ対策の基本として、ユーザーからの入力値を信頼せず、常に検証・無害化（サニタイズ）を行うべきとされる理由は何か？

A サーバーのパフォーマンスを向上させるため

B データベースの容量を節約するため

C SQLインジェクションやXSSなどの攻撃を防ぐため

D ユーザーインターフェースの使いやすさを向上させるため

10 第10問

Webアプリケーションにおけるクロスサイトスクリプティング（XSS）脆弱性が悪用された場合、攻撃者は主にどのような目的を達成しようとしますか？

A データベースから機密情報を直接窃取する。

B ユーザーのブラウザ上で悪意のあるスクリプトを実行し、セッションクッキーの窃取やサイトの改ざんを行う。

C サーバー上のシステムファイルを改ざんする。

D Webサーバーに過剰な負荷をかけ、サービス停止状態に陥れる。