情報セキュリティ(全127問中4問目)

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】
オープンリダイレクトを悪用した攻撃に該当するものはどれか。

出典:令和4年免除 問36

  • HTMLメールのリンクを悪用し,HTMLメールに,正規のWebサイトとは異なる偽のWebサイトのURLをリンク先に指定し,利用者がリンクをクリックすることによって,偽のWebサイトに誘導する。
  • Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し,攻撃者が指定した偽のWebサイトに誘導する。
  • インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し,攻撃対象のWebサーバに大量のDNSのレスポンスを送り付け,リソースを枯渇させる。
  • 設定の不備によって,正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し,送信元を偽った迷惑メールの送信を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
オープンリダイレクトは、URLパラメータやフォームデータなどの入力情報をもとに利用者を特定のWebページに遷移させるWebアプリケーションにおいて、任意のページにリダイレクトできてしまう脆弱性です。

Webアプリケーションでは、ある処理を行った後に利用者を特定のWebページに遷移させるケースがあり、遷移先のURLをパラメータとして受け取るものがあります。このURLを無制限に受け入れている場合、入力パラメータを細工することで利用者を任意のURLにリダイレクトさせることが可能となります。この脆弱性を攻撃者が悪用することで、利用者は気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。オープンリダイレクトの脆弱性に対しては、リダイレクト先のドメインやページを限定することが根本的な対策となります。
// オープンリダイレクト脆弱性の例
https://example.com/redirect?url=https://attacker.com/
  • 標的型攻撃メールやフィッシングの例です。
    HTMLでは、表示上のURLと実際のリンク先URLを異なるものにすることができるのを悪用した攻撃です。
    例)https://www.fe-siken.com/ は、当サイトのトップページのURLですがITパスポート試験ドットコムに遷移します。
  • 正しい。オープンリダイレクトを利用した攻撃です。
  • DNSアンプ攻撃(DNSリフレクタ攻撃)です。
  • 踏み台攻撃の説明です。

出典


Pagetop