HOME
Lv019

「Lv019」の記事一覧

ログインフォームにおいて、存在しないユーザーと存在するユーザーでエラーメッセージが異なる場合に発生する問題はどれか。

メッセージの違いから、特定のユーザーがシステムに登録されているかどうかを特定できてしまう。

2026年3月26日

Webフォームの「送信」ボタンを押した際の宛先URLを確認するために、ブラウザで利用すべき機能はどれか。

デベロッパーツール（F12）の「Network」や「Inspector」を使うことでHTMLの構造やリクエスト先を調査でき…

2026年3月26日

URLの末尾が「/download.php?file=report.pdf」となっている際、外部の重要なファイルを読み取る手法はどれか。

fileパラメータに ../../../etc/passwd などを指定することで、システム内部のファイルを読み取ろうとする…

2026年3月26日

Webアプリケーションが、ユーザー入力をそのままシステムコマンドとして実行してしまう脆弱性を何と呼ぶか。

OSコマンドの一部としてユーザー入力が処理されると、サーバー上で任意のプログラムを動かされる。

2026年3月26日

複数のURL（/admin, /config等）をしらみつぶしに探す攻撃に最適なBurp Suiteの機能はどれか。

Intruderは辞書ファイルを用いて、ペイロードを自動的に各箇所に挿入して実行できる。

2026年3月26日

Burp Suiteの「Repeater」タブを使用する主な目的はどれか。

Repeaterはキャプチャしたリクエストのパラメータを自由に変更し、サーバーの反応をテストするために使わ…

2026年3月26日

Webページ上の「隠しフィールド（）」を書き換えて、商品の価格を操作する攻撃の根本原因はどれか。

価格などの重要なデータをクライアント側で保持・送信させる設計自体が問題となる。

2026年3月26日

「Cookie内のrole=userをrole=adminに書き換えて特権機能を使う」という攻撃が該当する分類はどれか。

クライアント側の情報を信頼しすぎることで、権限の昇格が許容されてしまう脆弱性である。

2026年3月26日

Webアプリケーションにおいて、管理者のパスワードを知らずに管理パネルにアクセスしようとする試みを何と呼ぶか。

認証バイパスはログイン処理のロジックの不備を突き、認証を回避する攻撃である。

2026年3月26日

ユーザーごとに異なるID（例：user_id=101）をURLで指定している際、他人のIDに変更して情報を閲覧できる脆弱性はどれか。

IDOR (Insecure Direct Object Reference) は不適切な認可制御により他人のリソースにアクセスできる問題…

2026年3月26日