HOME
GIAC Web Application Penetration Tester GWAPT

「GIAC Web Application Penetration Tester GWAPT」の記事一覧

CSRF攻撃を防ぐために、フォーム送信時にサーバーが発行した推測困難な値をhiddenフィールドに含めて検証する仕組みはどれか。

アンチCSRFトークン（ワンタイムトークン）をリクエストに含めることで、攻撃者が作成した偽のリクエスト…

2026年3月10日

ログイン済みのユーザーに対し、意図しない操作（送金、パスワード変更等）を行わせる攻撃手法はどれか。

CSRF（クロスサイトリクエストフォージェリ）は、認証済みユーザーのブラウザから、ユーザーの意図しない…

2026年3月10日

XSSを防ぐために、ユーザーからの入力に含まれる `<` や `>` などの特殊文字を `<` や `>` に変換する処理を何と呼ぶか。

サニタイズ（またはHTMLエスケープ）は、特殊文字を無害な文字参照に変換し、ブラウザがスクリプトとして…

2026年3月10日

サーバーとの通信を伴わず、クライアントサイドのJavaScriptがURLのフラグメント（#以降）などを不適切に処理することで発生するXSSはどれか。

DOM-based XSSは、レスポンス内のHTML自体は正常でも、ブラウザ上のDOM操作によってスクリプトが生成・実…

2026年3月10日

XSS攻撃において、攻撃者が被害者のセッションIDを取得するために頻繁に使用するJavaScriptのオブジェクトプロパティはどれか。

document.cookieプロパティを参照することで、HttpOnly属性がない場合にセッションCookieを含むすべてのCo…

2026年3月10日

データベースや掲示板などに悪意のあるスクリプトが保存され、そのページを閲覧したすべてのユーザーに対してスクリプトが実行される攻撃はどれか。

Stored XSS（蓄積型XSS）は、サーバー側にスクリプトが永続的に保存されるため、被害範囲が広く持続的な影…

2026年3月10日

Webページが読み込むことのできるリソース（スクリプト、画像等）の送信元を制限し、XSSの影響を軽減するHTTPヘッダーはどれか。

CSP（Content Security Policy）は、実行可能なスクリプトのドメインなどをホワイトリスト化し、未許可の…

2026年3月10日

JWT（JSON Web Token）において、改ざんを検知するために使用される署名部分は、トークンのどの位置にあるか。

JWTはHeader.Payload.Signatureの3部分で構成されており、末尾のシグネチャ部分でトークンの整合性と真正…

2026年3月10日

攻撃者が用意した悪意のあるスクリプトを含むURLを被害者にクリックさせ、被害者のブラウザ上でスクリプトを実行させる攻撃はどれか。

Reflected XSS（反射型XSS）は、リクエストに含まれたスクリプトが即座にレスポンスとして反射され、被害…

2026年3月10日

セッションハイジャックのリスクを低減するために、ユーザーの操作がない状態で一定時間が経過した後にセッションを無効化する仕組みはどれか。

アイドルタイムアウトは、ユーザーからのリクエストがない無操作時間が設定値を超えた場合にセッションを…

2026年3月10日