HOME
Lv020

「Lv020」の記事一覧

Authentication Policyで「Any 1 factor」と「Password + Any 1 factor」の強度の違いはどれか。

前者はパスワードレスを許容し、後者は従来の二要素認証を強制する。

2026年3月18日

Okta APIの「Filter」パラメータを使用して特定の部署のユーザのみを取得する記述はどれか。

SCIM準拠のフィルタリング形式を使用して効率的にデータを取得する。

2026年3月18日

ECBモードの暗号文において、ブロックを入れ替えることでデータの意味を書き換える攻撃を何と呼ぶか。

各ブロックが独立して暗号化されるため、パズルを解くようにブロックを再配置して情報を改ざんできる。

2026年3月18日

RESTful APIにおいて、本来は「POST」でのみ受け付けるべき処理を「GET」でも受け付けてしまう不備のリスクはどれか。

GETリクエストはブラウザから簡単に誘導できるため、重要な操作がGETで可能な場合、CSRFの標的になりやす…

2026年3月18日

「SQL注入」で管理者セッションを取得し、管理画面の「ファイルアップロード」からWebシェルを配置する攻撃はどれか。

データベースの侵害を足掛かりに、アプリケーションの特権機能を悪用してOSの制御を奪う典型的な流れであ…

2026年3月18日

複雑な認証ロジックにおいて、条件分岐の網羅性不足を突き、特定の「If文」を常に偽にして管理者権限を得る手法はどれか。

ソースコードの論理的な穴を特定し、意図しない実行パスを通るように入力を構成する。

2026年3月18日

PHPの「pcre.backtrack_limit」設定を利用して、複雑な正規表現による処理時間を増大させDoSを引き起こす攻撃はどれか。

正規表現のバックトラッキングが爆発的に増えるパターンを入力し、サーバーのリソースを占有する。

2026年3月18日

AES-CBCモードの暗号化において、IV（初期化ベクトル）が予測可能、または固定である場合のリスクはどれか。

同じ平文を同じIVで暗号化すると同じ暗号文になるため、情報のパターンが漏洩し、特定条件下で解読される。

2026年3月18日

Node.jsの「child_process.exec」において、第一引数のコマンドライン自体を制御できる場合に、引数から脱出する記号はどれか。

シェル経由で実行されるため、これらのメタ文字を組み合わせて任意の別コマンドを繋げることができる。

2026年3月18日

OAuth 2.0の「Implicit Flow」において、アクセストークンがURLフラグメントに含まれることを悪用するリスクはどれか。

ブラウザ履歴やRefererヘッダー、あるいはDOM型XSSを介して、トークンが第三者に取得される恐れがある。

2026年3月18日