HOME
GIAC Web Application Penetration Tester GWAPT

「GIAC Web Application Penetration Tester GWAPT」の記事一覧

Gitリポジトリから過去のコミット履歴を調査し、削除されたはずのパスワードやAPIキーを発見するために使用されるGitコマンドはどれか。

`git log -p` を使用すると、各コミットでの変更差分が表示されるため、過去に誤ってコミットされ、その後…

2026年3月10日

Content Security Policy (CSP) で `script-src ‘nonce-…’` を使用している場合、XSS攻撃を成功させるために攻撃者が必要とするものはどれか。

nonce（ナンス）ベースのCSPでは、スクリプトタグに正しいnonce属性が付与されていない限り実行されないた…

2026年3月10日

CBCモードのブロック暗号において、初期化ベクトル（IV）が予測可能または再利用された場合に発生する脆弱性はどれか。

IVはランダムかつユニークである必要があり、予測可能な場合、攻撃者は選択平文攻撃（CPA）などを用いて平…

2026年3月10日

HTTP/2において、攻撃者がサーバーに対し、TCP接続のウィンドウサイズ更新フレームなどを大量に送信してCPUリソースを消費させるDoS攻撃はどれか。

HTTP/2のフレーム処理の複雑さを悪用し、SETTINGSフレームやPINGフレームを大量に送りつけることで、サー…

2026年3月10日

Pythonスクリプトで、Webページ内の特定のフォーム要素（``など）の値を抽出するのに最適なBeautifulSoupのメソッドはどれか。

`soup.find('input', {'name': 'csrf_token'}).get('value')` のように記述することで、特定の属性値（こ…

2026年3月10日

Burp Suite Proに含まれる機能で、アプリケーションのサイトマップ構造に基づき、自動的に脆弱性を探索・分析するスキャナーはどれか。

Burp Scannerは、動的解析（DAST）を行い、SQLiやXSSなどの脆弱性を自動的に検出する強力なエンジンである…

2026年3月10日

AWSのIAMロールの権限設定において、必要以上の権限（例：`s3:*`）を与えてしまい、攻撃者に悪用されるリスクが高い状態を何と呼ぶか。

過剰な権限付与は、万が一の侵害時に被害範囲を拡大させる最大要因であり、最小権限の原則（Least Privile…

2026年3月10日

APIエンドポイントが、本来必要ない大量のデータフィールド（ユーザーの個人情報など）をレスポンスに含んで返しており、クライアント側で表示をフィルタリングしている脆弱性はどれか。

OWASP API Security Top 10の一つであり、バックエンドが全てのデータを返し、フロントエンドだけで表示制…

2026年3月10日

WebSocket通信のメッセージ内容を操作・改ざんする攻撃を行うために、Burp Suiteなどのプロキシツールで一般的に行われる設定はどれか。

Burp SuiteなどはWebSocketトラフィックの表示・操作に対応しており、インターセプトを有効にすることでメ…

2026年3月10日

GraphQLにおいて、複数のクエリを一度のリクエストで送信する「エイリアス（Alias）」機能を悪用し、認証試行などを大量に行う攻撃はどれか。

エイリアスを使用することで、`login1: login(...)`, `login2: login(...)` のように一度に多数の異なる引…

2026年3月10日