HOME
Lv014

「Lv014」の記事一覧

Active Directory環境で、サービスアカウントのハッシュを取得しオフラインで解読する攻撃はどれか。

Kerberoastingはサービスプリンシパル名（SPN）を持つアカウントのチケット情報を悪用する。

2026年3月7日

SCAPの構成要素で、脆弱性のチェック内容を定義するための言語はどれか。

OVAL（Open Vulnerability and Assessment Language）はシステムの脆弱性状態を検査する標準仕様である。

2026年3月7日

ドメイン名から関連するメールアドレスをインターネット上から一括して収集するWebサービスはどれか。

Hunter.ioは公開されているWebページからメールアドレスをクロールしてデータベース化している。

2026年3月7日

テスト中に誤って損害を与えてしまった場合に備えて、テスターが加入しておくべき保険はどれか。

Professional Indemnity保険は、業務上の過失による法的賠償責任をカバーするために重要である。

2026年3月7日

Nmapに独自の自動化機能や高度な検知ロジックを追加するためのスクリプトシステムはどれか。

NSEを使用することで、脆弱性検知やネットワークサービスの自動詳細調査が可能になる。

2026年3月7日

テストで収集した証跡データや報告書のコピーを保管すべき期間は、どの文書で定義されるか。

データの保持期間や廃棄方法は、業務委託契約や作業範囲記述書（SOW）で明確に合意されるべきである。

2026年3月7日

レスポンスの内容に差が出ない場合でも、応答時間の違いを利用して情報を推測するSQLiはどれか。

Time-based Blind SQLiはsleep関数などを使用して、応答の遅延から真偽を判定する。

2026年3月7日

CVSS v3.1において、組織独自の環境に合わせてスコアを調整するために使用される指標はどれか。

Environmental Metrics（環境指標）は特定の利用環境における脆弱性の重要度を反映させる。

2026年3月7日

Shodanで「port:3389」というフィルタを使用した場合、どのようなデバイスが検索されるか。

ポート3389はリモートデスクトッププロトコル（RDP）のデフォルトポートである。

2026年3月7日

ペネトレーションテストと比較して、レッドチーム演習の最大の特徴はどれか。

レッドチーム演習は特定の目標を達成するために、組織の防御態勢全体を包括的かつ長期的に試す。

2026年3月7日