HOME
GIAC Web Application Penetration Tester GWAPT

「GIAC Web Application Penetration Tester GWAPT」の記事一覧

Kali Linuxに標準搭載されている、Webサーバーの脆弱性スキャナで、CGIスクリプトの脆弱性や設定ミスを検出することに特化したツールはどれか。

Niktoは軽量かつ高速なWebサーバースキャナで、数千項目の潜在的な問題をチェックするが、WAFなどで検知さ…

2026年3月10日

HTML5の `canvas` 要素を利用して、ブラウザの描画特性の違いからユーザー固有の指紋（Fingerprint）を生成し、追跡する技術はどれか。

Canvas Fingerprintingは、ブラウザやOSごとの微妙な描画差異を利用して、Cookieを使わずにユーザーを識別…

2026年3月10日

Webサーバーがディレクトリ内のデフォルトファイル（index.html等）を見つけられない場合、自動的にファイル一覧を生成して表示する機能を何と呼ぶか。

ディレクトリリスティングが有効になっていると、攻撃者はサーバー上のファイル構造や隠しファイル（バッ…

2026年3月10日

SSL/TLSにおいて、以前に確立したセッションを再利用し、ハンドシェイクの負荷を軽減する仕組み（セッションIDやチケットを使用）を何と呼ぶか。

Session Resumption（セッション再開）は、完全なハンドシェイクを省略して暗号化通信を再開する機能だが…

2026年3月10日

Base64エンコードされた文字列の典型的な特徴として、末尾に付加されるパディング文字はどれか。

Base64は出力文字数を4の倍数にするために、末尾に1つまたは2つの `=` をパディングとして付加する場合が…

2026年3月10日

WordPressの設定ファイル `wp-config.php` が外部から閲覧可能な状態にある場合、最も重大なリスクは何か。

wp-config.phpにはデータベース名、ユーザー名、パスワードが含まれているため、漏洩するとデータベースが…

2026年3月10日

HTTPレスポンスヘッダー `Strict-Transport-Security` (HSTS) に `includeSubDomains` ディレクティブを含める主な目的は何か。

includeSubDomainsを指定することで、ベースドメインだけでなく、すべてのサブドメインに対してもHTTPSに…

2026年3月10日

ペネトレーションテストにおいて、スキャナーが脆弱性ありと判定したが、実際には攻撃不可能または誤りであることを確認・排除する作業を何と呼ぶか。

自動スキャンの結果には誤検知（False Positive）が含まれることが多いため、手動による検証（Verificatio…

2026年3月10日

DNS偵察において、ターゲットドメインのメールサーバー（MXレコード）やネームサーバー（NSレコード）を特定するために使用されるLinuxコマンドはどれか。

digコマンド（Domain Information Groper）は、DNSサーバーに対してクエリを送信し、各種レコード情報を詳…

2026年3月10日

バックエンドのアプリケーションが、同じ名前の複数のパラメータ（例：`id=1&id=2`）を受け取った際の処理の違い（最初を採用、最後を採用、結合するなど）を悪用する攻撃はどれか。

HPPは、WAFのフィルタをすり抜けたり、アプリケーションのロジックを狂わせたりするために、重複したパラ…

2026年3月10日