HOME
Lv005

「Lv005」の記事一覧

SQLインジェクションの脆弱性検知と悪用（データのダンプ等）を自動化するための代表的なオープンソースツールはどれか。

SQLMapは強力な検出エンジンを持ち、多様なデータベースに対するSQLインジェクション攻撃を自動化し、デー…

2026年3月10日

Webアプリケーション経由でサーバーのOSコマンドを不正に実行させる攻撃において、複数のコマンドを連結するために使われる文字はどれか。

Unix/Linux系OSにおいてセミコロン `;` はコマンドの区切り文字であり、これを利用して正当なコマンドの後…

2026年3月10日

複数のSELECT文の結果を結合して一つの結果セットとして取得するために使用されるSQL演算子はどれか。

UNION演算子を使用したSQLインジェクションでは、攻撃者が任意のテーブルからデータを抽出し、元のクエリ…

2026年3月10日

データベースからのエラーメッセージが表示されない環境で、真偽値を返すクエリの応答の違いを利用してデータを推測する手法はどれか。

Boolean-based Blind SQLiは、SQL文の結果がTRUEかFALSEかによってページの内容が変化することを利用し、1…

2026年3月10日

データベースの応答時間の遅延を利用して、クエリの結果を推測するSQLインジェクションの手法はどれか。

Time-based Blind SQLiは、`SLEEP()`や`WAITFOR DELAY`などの関数を注入し、レスポンスが返るまでの時間を…

2026年3月10日

SQLインジェクションを防ぐための最も効果的かつ推奨される対策はどれか。

プリペアドステートメント（静的プレースホルダ）を使用すると、SQL文の構造とデータが分離されるため、入…

2026年3月10日

入力フォームに `’ OR ‘1’=’1` を入力することで、本来アクセスできないデータを表示させたり認証を回避したりする攻撃はどれか。

SQLインジェクションは、アプリケーションが想定しないSQL文をデータベースに実行させ、不正な操作を行う…

2026年3月10日

「Zero Trust Architecture（ゼロトラスト）」の核心的な前提条件として正しいものはどれか。

ゼロトラストは「決して信頼せず、常に検証する（Never Trust, Always Verify）」を原則とし、境界防御モ…

2026年3月10日

DNSトンネリングを検知するためのネットワークトラフィック分析において、注目すべき指標はどれか。

DNSトンネリングではデータをDNSクエリ/応答に埋め込むため、通常よりも長いサブドメインやランダムな文字…

2026年3月10日

ブロック暗号の運用モードにおいて、GCM (Galois/Counter Mode) が提供する2つの機能はどれか。

GCMは認証付き暗号（AEAD）モードの一つであり、データの暗号化（機密性）と同時にメッセージ認証コードに…

2026年3月10日