• HOME
  • GIAC Web Application Penetration Tester GWAPT

「GIAC Web Application Penetration Tester GWAPT」の記事一覧

WAFを回避するために、URLエンコードされた文字をさらにURLエンコードする(例: `%` → `%25`)手法はどれか。
ダブルURLエンコードは、WAFが1回だけデコードして検証する場合に、バックエンドで2回目のデコードが行わ…
テンプレートエンジン(Jinja2, Twigなど)の機能を利用して、サーバー側で任意のコードを実行させる脆弱性はどれか。
SSTIは、ユーザー入力をテンプレートとして評価させてしまうことで発生し、内部オブジェクトへのアクセス…
Webアプリケーションが、ユーザー入力に基づいてオブジェクトを生成する際に、本来変更できてはいけない属性まで変更できてしまう脆弱性(Mass Assignment)はどれか。
Mass Assignment(またはOver-posting)は、モデルへのバインディング機能を悪用して、管理者権限フラグな…
Pythonの `socket` ライブラリを使用してTCP接続を確立する際、最初に呼び出すメソッドはどれか。
クライアントとしてサーバーに接続する場合、ソケットオブジェクトを作成した後に `connect((host, port))…
OWASP ZAPにおいて、ブラウザのプロキシとして動作し、通過するトラフィックを監視・記録するだけのスキャンモードはどれか。
パッシブスキャンは、リクエストを送信して攻撃を行わず、通過する通信内容を分析して脆弱性の兆候(ヘッ…
Webサイトがブラウザに対し、次回以降の接続を必ずHTTPSで行うように強制するHTTPヘッダーはどれか。
HSTS(HTTP Strict Transport Security)は、中間者攻撃によるSSLストリップなどのリスクを軽減するために…
Content Security Policy (CSP) において、ページ内に記述されたインラインスクリプト(`