HOME
Lv016

「Lv016」の記事一覧

Authentication Policyのルールで「Risk Score」を「High」に設定した場合の動作はどれか。

不審なアクセスの時だけ追加の認証を求めたり、拒否したりする動的制御。

2026年3月18日

Oktaでユーザを「Activation」する際にパスワードの入力をスキップさせる設定はどれか。

管理者がパスワードを事前に設定する場合などに、メール送信を省くことができる。

2026年3月18日

Okta Verifyの「FastPass」認証で「Cloud-based signatures」を使用する利点はどれか。

デバイス固有のセキュリティチップを利用し、秘密鍵の漏洩を防止する。

2026年3月18日

JavaScriptで「lodash.merge」などの関数が、再帰的なオブジェクトの結合時に引き起こす脆弱性はどれか。

入力を適切に制限せずに再帰処理を行うと、Object.prototypeへのプロパティ注入を許してしまう。

2026年3月18日

PHPの「hash_compare」等で用いられる、文字列の比較時間を一定にする対策が必要な攻撃はどれか。

1文字ごとの比較時間の差を測定することで、秘密の値を推測する攻撃である。

2026年3月18日

アプリケーションの「状態」遷移の不備を突き、本来不可能な順序で機能を実行する不備を何と呼ぶか。

支払い前に「注文完了」エンドポイントを叩くなど、ビジネスプロセスの論理的な欠陥を利用する。

2026年3月18日

SAMLにおいて、XML署名の検証範囲外に不正な要素を挿入して認証を偽装する攻撃はどれか。

Signature Wrapping攻撃は、正当な署名を残したまま、アプリケーションが処理するアサーションを差し替え…

2026年3月18日

Apache Velocityテンプレートエンジンで、任意のJavaクラスを実行するために使用される命令はどれか。

#evaluateを用いると、実行時に動的なスクリプトとして評価されるためRCEの起点となる。

2026年3月18日

HTMLからPDFを生成するライブラリ（wkhtmltopdf等）に対して、内部ファイルを読み取らせるタグはどれか。

iframeのsrc属性にfile:///etc/passwdなどを指定することで、生成されたPDF内にファイル内容を取り込める。

2026年3月18日

JWTの「kid」ヘッダーにSQLインジェクション脆弱性がある場合、どのような攻撃が可能か。

UNION文を用いて既知の鍵をクエリ結果として返させることで、自身の署名を有効化できる。

2026年3月18日