HOME
GIAC Web Application Penetration Tester GWAPT

「GIAC Web Application Penetration Tester GWAPT」の記事一覧

WAFがHTTPリクエストボディの検査を行う際、`Transfer-Encoding: chunked` ヘッダーを利用してペイロードを分割し、検知をすり抜ける手法はどれか。

一部のWAFはチャンク形式のリクエストボディを結合して検査できない場合があり、攻撃コードを分割して送信…

2026年3月10日

AWS EC2インスタンスにおいて、IMDSv2（Instance Metadata Service Version 2）を使用することが推奨される理由は、どの攻撃への耐性を高めるためか。

IMDSv2はセッション指向のトークンを要求するため、単純なSSRF攻撃によるメタデータ取得（IAMクレデンシャ…

2026年3月10日

Gitリポジトリから削除されたファイルの痕跡を探す際、`git log –diff-filter=D –summary` コマンドは何を表示するか。

`--diff-filter=D` は削除（Deleted）されたファイルを含むコミットのみをフィルタリングして表示する。

2026年3月10日

PythonのJinja2テンプレートエンジンに対するSSTI攻撃を確認する際、`{{7*’7′}}` を入力した場合の期待される出力はどれか。

Pythonでは文字列と整数の乗算が可能であり、`'7'` が7回繰り返される `7777777` という文字列が生成され…

2026年3月10日

REST APIの認証において、APIキーをURLのクエリパラメータ（例: `?api_key=xyz`）で送信することが推奨されない主な理由は何か。

URLはアクセスログ、プロキシログ、ブラウザ履歴などに記録されることが多く、秘密情報の漏洩経路となりや…

2026年3月10日

GraphQL APIにおいて、本番環境で「イントロスペクション（Introspection）」クエリを無効化すべき主な理由は何か。

イントロスペクションが有効だと、利用可能な型、クエリ、フィールドの全リストを取得でき、脆弱性探索が…

2026年3月10日

OAuth 2.0において、モバイルアプリなどのパブリッククライアントが認可コード横取り攻撃を防ぐために使用する拡張仕様はどれか。

PKCEは、コード検証子（Code Verifier）とコードチャレンジを用いて、認可リクエストとトークンリクエスト…

2026年3月10日

GIAC認定資格（GWAPTなど）を更新するために、4年ごとに取得・提出が必要な継続教育単位の名称はどれか。

GIAC資格を維持するためには、CPEクレジットを積み上げるか、再試験を受ける必要があり、常に最新の知識を…

2026年3月10日

HTTP/2プロトコルにおいて、単一のTCPコネクション上で複数のリクエストとレスポンスを同時にやり取りする機能はどれか。

HTTP/2の多重化機能により、HoLブロッキング（Head-of-Line Blocking）の問題が解消され、通信効率が向上…

2026年3月10日

CDNやクラウドサービスの正規のドメインを隠れ蓑にし、検閲回避やC2通信を行う技術で、TLSのSNIとHTTPホストヘッダーの不一致を利用するものはどれか。

Domain Frontingは、通信先をGoogleやAzureなどの信頼できるドメインに見せかけつつ、実際には攻撃者のサ…

2026年3月10日