HOME
Lv019

「Lv019」の記事一覧

「Authentication Policy」の「App context」を使用したフィルタリングで可能なことはどれか。

機密情報の多いアプリには必ずFIDO2を求めるなどの柔軟な運用。

2026年3月18日

OIDCアプリの「Refresh Token」の役割はどれか。

有効期間の短いアクセストークンを自動更新し、ユーザ体験を向上させる。

2026年3月18日

Okta Verifyの「Number Challenge」を有効にするための最小要件はどれか。

この機能は新世代の認証エンジンであるOIEでのみ提供される。

2026年3月18日

Oktaで「User Type」を新しく作成する主な理由はどれか。

社員にはない「契約開始日」を持つ協力会社用プロファイルなどを作成できる。

2026年3月18日

REST APIにおいて、PATCHメソッドのボディに巨大なJSONを送り、パース処理でリソースを枯渇させる攻撃はどれか。

深いネストや巨大なキー名を持つJSONにより、サーバー側のメモリやCPUを過度に消費させる。

2026年3月18日

キャッシュキーの生成から「Host」ヘッダーを除外している設定を悪用して、他ドメインのコンテンツをキャッシュさせる攻撃はどれか。

攻撃者のドメインへのリクエストを、Hostヘッダーの違いを無視して正規ドメインのキャッシュとして保存さ…

2026年3月18日

SAMLのアサーション内で、コメントタグを利用してユーザー名を改ざんする攻撃を何と呼ぶか。

「adminuser」のような入力を、パーサーの差異により「admin」として認識させる手法である。

2026年3月18日

リクエストスマッグリングを用いて、他人のリクエストの内容を自分のリクエストのボディに連結させて盗み出す手法はどれか。

自分のPOSTリクエストの末尾を不完全な状態で残し、バックエンドが次に来る他人の入力をその続きとして処…

2026年3月18日

JWTの「RS256」署名検証において、秘密鍵ではなく公開鍵を検証用キーとして「HS256」で署名する攻撃はどれか。

検証側が鍵の種類を確認せずに、受け取った鍵をHMACの秘密鍵として扱ってしまう不備を突く。

2026年3月18日

gRPCのメタデータ（HTTP/2ヘッダー）を悪用した攻撃において、特に注意すべき注入対象はどれか。

gRPCの「:path」疑似ヘッダーを操作することで、内部的なルーティングをバイパスできる可能性がある。

2026年3月18日