WAF（Web Application Firewall）が防御対象とする攻撃として、適切なものはどれか。

📝 解説

WAF（Web Application Firewall）は「Webアプリケーション専門のボディガード」です。通常のファイアウォールがIPアドレスやポート番号を見てネットワーク層でトラフィックを制御するのに対し、WAFはHTTPリクエストの中身（アプリケーション層＝第7層）を深く解析して悪意のある攻撃を検知・遮断します。WAFが対応する代表的な攻撃はSQLインジェクション・XSS（クロスサイトスクリプティング）・CSRF（クロスサイトリクエストフォージェリ）・パスインクルードなどです。XSS（クロスサイトスクリプティング）は「悪意のあるスクリプトをWebページに埋め込み、訪問者のブラウザ上で実行させる」攻撃で、セッションCookieの盗取や偽フォームの表示に悪用されます。誤答の「SYNフラッド攻撃」はTCPのハンドシェイクを悪用したDoS攻撃でOSI第4層が対象のためWAFでは防げません。「ポートスキャン」はネットワーク偵察でL3/L4レベルの話です。「WAF＝Webアプリ層（L7）の攻撃（SQLi・XSS等）を防ぐ」と確実に覚えましょう！',["クロスサイトスクリプティング（XSS）"