HOME
GIAC Web Application Penetration Tester GWAPT

「GIAC Web Application Penetration Tester GWAPT」の記事一覧

Webアプリケーションに対する攻撃をリアルタイムで検知・遮断するだけでなく、アプリケーション自体に組み込んで動作するセキュリティ技術はどれか。

RASPはアプリケーションのランタイム環境（Java JVM, .NET CLR等）内部で動作し、コンテキストを理解した…

2026年3月10日

Red Team演習などで使用される、.NETベースのC2（Command and Control）フレームワークで、Webインターフェースを持ち、協力プレイが可能なものはどれか。

CovenantはC#で記述されたC2フレームワークであり、Windows環境への攻撃やラテラルムーブメントに強力な機…

2026年3月10日

万が一秘密鍵が流出した場合でも、過去の通信内容が解読されないという暗号通信の性質を何と呼ぶか。

Ephemeral（一時的）な鍵交換アルゴリズム（DHE, ECDHE等）を使用することで、セッション毎に異なる鍵を生…

2026年3月10日

NIST SP 800-63B ガイドラインにおいて、ユーザーのパスワード設定に関して「非推奨」とされている慣習はどれか。

NISTの最新ガイドラインでは、定期変更はユーザーが安易なパターン化（数字を増やすだけ等）を行う原因と…

2026年3月10日

ペネトレーションテストの報告書に証拠画像（スクリーンショット）を添付する際、倫理的かつプロフェッショナルな配慮として必須の処理はどれか。

レポートには脆弱性の証明が必要だが、関係のない第三者のデータや過度な機密情報が写り込んでいる場合は…

2026年3月10日

ペネトレーションテストの手法において、対象の内部構造やソースコードなどの情報を一切持たずに、外部の攻撃者と同じ視点で行うテストを何と呼ぶか。

ブラックボックステストは、事前情報なしで実施されるため、現実の外部攻撃シミュレーションに近いが、網…

2026年3月10日

CVSS（共通脆弱性評価システム）において、脆弱性の深刻度スコアを算出する際、攻撃コードの成熟度や修正パッチの有無を考慮する指標はどれか。

現状評価基準は、時間の経過とともに変化する要素（PoCの公開状況やパッチの提供状況）を反映し、スコアを…

2026年3月10日

ペネトレーションテストを実施する前に、クライアントから書面で取得しなければならない、テスト行為が法的に許可されていることを証明する文書は通称何と呼ばれるか。

法的責任を問われないようにするため、対象、期間、許可内容を明記した署名付きの許可証（通称：免罪符）…

2026年3月10日

AWS Lambdaなどのサーバーレス関数に対し、イベントデータの構造（JSON等）を操作して、予期しない処理やインジェクションを引き起こす攻撃はどれか。

サーバーレス関数は様々なイベントソース（S3, API Gateway, DynamoDB等）から入力を受け取るため、その入…

2026年3月10日

ブラウザの同一生成元ポリシー（SOP）を回避するために、DNS応答のIPアドレスを短時間で切り替え、攻撃者のサーバーから内部ネットワークのサーバーへアクセスさせる攻撃はどれか。

DNS Rebindingは、最初のアクセス時は攻撃者のIPを返し、JS実行後の次のアクセスで内部IP（127.0.0.1等）…

2026年3月10日