本動画では、令和5年度秋期情報処理安全確保支援士試験の午後問1を題材に、Webアプリケーションの脆弱性について徹底解説します。学習すべき重要キーワードは、格納型XSS、エスケープ処理、同一オリジンポリシー(SOP)、セッションハイジャック、XMLHttpRequestの5つです。これらの概念を理解することで、攻撃者の意図を読み解き、適切な対策を導き出す実践的な思考プロセスを学べます。
格納型XSSは悪意あるスクリプトがサーバー側に保存され他のユーザーに配信される攻撃であり、根本対策として出力時のエスケープ処理が重要です。同一オリジンポリシーは別ドメインへの通信を制限する防壁ですが、攻撃者はこれを巧妙に回避します。セッションハイジャックは奪ったセッションIDで本人になりすます脅威で、XMLHttpRequest等が悪用される仕組みも理解できます。
