HOME
Lv006

「Lv006」の記事一覧

技術的なエラーはないが、アプリケーションの仕様や業務フローの盲点を突いて不正行為（例：クーポン無限適用）を行う攻撃はどれか。

ビジネスロジックの脆弱性は、自動化ツールでは検知しにくく、アプリケーション固有の仕様を悪用した攻撃…

2026年3月10日

PHPの `system()` や `exec()` などの関数に対し、外部からの入力を適切にサニタイズせずに渡すことで発生する脆弱性はどれか。

OSコマンドインジェクションは、アプリケーションの権限で任意のシステムコマンドを実行可能にする重大な…

2026年3月10日

ファイルアップロード攻撃を防ぐ対策として、ファイルの拡張子だけでなく何を検証すべきか。

拡張子は偽装可能なため、ファイルの中身（マジックナンバー）やMIMEタイプを厳密に検証することが重要で…

2026年3月10日

XXE攻撃の一種で、再帰的なエンティティ参照を用いてメモリを枯渇させ、サービス拒否（DoS）を引き起こす攻撃は通称何と呼ばれるか。

Billion Laughs攻撃は、小さなXMLファイル内でエンティティを指数関数的に展開させ、サーバーのリソースを…

2026年3月10日

信頼できないデータをオブジェクトに復元（デシリアライズ）する際に、任意のコードを実行されてしまう脆弱性はどれか。

安全でないデシリアライゼーションは、シリアル化されたデータに悪意のあるオブジェクトを含めることで、…

2026年3月10日

AWS環境において、SSRF脆弱性を利用してEC2インスタンスのIAM認証情報を取得するためにアクセスされる特有のリンクローカルIPアドレスはどれか。

169.254.169.254はAWSなどのクラウド環境でインスタンスメタデータを取得するために使用されるIPアドレス…

2026年3月10日

攻撃者がWebサーバーをプロキシとして利用し、外部から直接アクセスできない内部ネットワークのリソースへリクエストを送らせる攻撃はどれか。

SSRFは、脆弱なサーバーを経由して、ファイアウォール内部のサーバーやクラウドのメタデータサービスへ不…

2026年3月10日

悪意のあるPHPファイルなどを画像ファイルとしてアップロードし、サーバー上で実行させるために利用される脆弱性はどれか。

検証不十分なファイルアップロード機能を利用してWebシェルなどを配置し、リモートコード実行（RCE）につ…

2026年3月10日

XMLパーサの設定不備を突き、外部エンティティを定義することでサーバー内のローカルファイルを読み出す攻撃はどれか。

XXE（XML External Entity）攻撃は、XML入力の処理中に外部実体参照を許可している場合に発生する脆弱性で…

2026年3月10日

Webアプリケーションのファイルパス操作において、`../` を使用して意図しない上位ディレクトリのファイルにアクセスする攻撃はどれか。

パストラバーサル（ディレクトルトラバーサル）は、入力値の検証不備を利用してWebルート外のファイルにア…

2026年3月10日