HOME
Lv007

「Lv007」の記事一覧

Geo IPブロック機能で、特定の国からのアクセスを許可しつつ、その国の一部のIPのみブロックしたい場合の優先順位はどうなるか。

一般的に、特定のIPアドレスを指定したブラックリスト/ホワイトリスト（Access Policy）は、広範なGeo IP…

2026年3月9日

「Credential Stuffing」攻撃（リスト型攻撃）への対策として、漏洩した資格情報データベースと照合する機能はどれか。

FortiWebは、既知の漏洩アカウント情報（ユーザー名/パスワード）のデータベースとログイン試行を照合し、…

2026年3月9日

XMLデータを含むリクエストに対して、XMLの構造的妥当性やWSDLへの準拠をチェックする機能はどれか。

XML Protectionプロファイルを使用することで、XMLの整形式チェック、スキーマ検証、外部実体参照（XXE）…

2026年3月9日

JSON形式のREST APIリクエストに含まれるSQLインジェクションを検知するために必要な設定はどれか。

JSONペイロード内の値を検査するには、JSON Protectionプロファイルを使用し、その中でSQLインジェクショ…

2026年3月9日

「Padding Oracle Attack」を防御するために有効な設定はどれか。

FortiWebは、暗号化されたデータのパディングエラーに対する応答の違いを悪用するパディングオラクル攻撃…

2026年3月9日

HTTPメソッドの制限（HTTP Method Restriction）で、一般的に許可すべきではない危険なメソッドはどれか。

PUTやDELETEはサーバー上のファイルを変更・削除できる可能性があるため、API等で明示的に必要な場合以外…

2026年3月9日

FortiWebのシグネチャ設定で「Extended Signature」を使用する目的はどれか。

Extended Signatureは、デフォルトのCore Signatureセットには含まれない、特定のアプリや古い脆弱性に対…

2026年3月9日

カスタムシグネチャを作成する際、HTTPリクエストの特定のヘッダーのみを検査対象とするために指定するフィールドはどれか。

カスタムルールの定義において「Target」フィールドを指定することで、URI、ヘッダー、ボディなど、検査す…

2026年3月9日

URL書き換え（URL Rewriting）ルールで、正規表現のキャプチャグループ（例: (.*)）の内容を参照するために使用する記号はどれか。

正規表現でマッチした部分は、置換文字列内で $1, $2 などの変数として参照できる（$0はマッチした全体）。

2026年3月9日

「Global White List」と「Local White List」の主な違いは何か。

Global White Listはシステム全体または全ADOMに影響するのに対し、Local White List（Web Protection Pro…

2026年3月9日