HOME
GIAC Certified Penetration Tester GPEN

「GIAC Certified Penetration Tester GPEN」の記事一覧

辞書攻撃やブルートフォース攻撃に対する耐性を高めるために、パスワードポリシーで強制すべき最も効果的な要素はどれか。

パスワードの長さと文字種の複雑さは、探索空間を指数関数的に増大させ、解析を困難にするための最も基本…

2026年3月10日

過去に削除されたWebページや、Webサイトの古いバージョンを閲覧するために利用できるオンラインサービスはどれか。

Archive.orgのWayback Machineは、過去の時点でのWebサイトのコピー（スナップショット）を保存しており、…

2026年3月10日

Webサイトの証明書に使用され、サーバーの公開鍵で暗号化し、サーバーの秘密鍵でのみ復号できる暗号化方式はどれか。

公開鍵暗号方式は、暗号化と復号に異なる鍵（公開鍵と秘密鍵）を使用する方式である。

2026年3月10日

Webサーバーがユーザーの状態（ログイン状態など）を管理するために、ユーザーのブラウザに保存させる小さなデータファイルを何と呼ぶか。

Cookieは、ステートレスなHTTPプロトコルにおいて、セッション管理やユーザー設定の保存に使用される仕組…

2026年3月10日

セキュアなリモート管理のためにSSHプロトコルがデフォルトで使用するTCPポート番号はどれか。

SSH（Secure Shell）はデフォルトでTCPポート22を使用し、通信経路を暗号化する。

2026年3月10日

Linuxシステムにおいて、テキストファイル内の特定の文字列（パターン）を検索・抽出するために使用されるコマンドはどれか。

grepコマンドは、正規表現などを用いてファイル内のパターンマッチングを行い、該当する行を表示する。

2026年3月10日

テスト中に、クライアントから提供された範囲（IPリスト）に含まれていないが、明らかにクライアントの所有と思われる脆弱なサーバーを発見した場合、テスターが取るべき正しい行動はどれか。

スコープ外のシステムへのアクセスは許可されていないため、たとえ所有者が同じであっても攻撃せず、直ち…

2026年3月10日

ペネトレーションテストにおいて、テスト対象のシステムがクラウドプロバイダー（AWSやAzureなど）上にある場合、テスト開始前に必ず確認すべき事項はどれか。

クラウドプロバイダーはインフラへの負荷や誤検知を防ぐため、テストに関する特定の規約や事前通知ルール…

2026年3月10日

Webブラウザではなく、専用のクライアントソフト（EXE等）を使用するアプリケーション（シッククライアント）の通信を傍受するために必要なBurp Suiteの設定はどれか。

シッククライアントはプロキシ設定を認識しないことが多いため、DNSやhostsファイルでトラフィックをBurp…

2026年3月10日

マルウェアの実行ファイルをディスクに書き込まず、PowerShellなどを使用してメモリ上で直接実行することで検知を回避する手法を何と呼ぶか。

ファイルレスマルウェアは、ディスク上に痕跡を残さず（または最小限にし）、メモリ内でのみコードを実行…

2026年3月10日