「Lv024」の記事一覧

AWS Lambdaなどのサーバーレス関数に対し、イベントデータの構造（JSON等）を操作して、予期しない処理やインジェクションを引き起こす攻撃はどれか。

ブラウザの同一生成元ポリシー（SOP）を回避するために、DNS応答のIPアドレスを短時間で切り替え、攻撃者のサーバーから内部ネットワークのサーバーへアクセスさせる攻撃はどれか。

侵害したWebサーバーをプロキシとして利用し、外部から直接アクセスできない内部ネットワークの他のマシンへ攻撃を行う行為を何と呼ぶか。

IISウェブサーバーにおいて、`file~1.txt` のような形式でファイルにアクセスできる機能を利用し、長いファイル名や隠しファイルを推測する攻撃はどれか。

Nginxの設定で `location /img { alias /var/www/images; }` のように、`alias` の末尾にスラッシュがない場合に発生するディレクトリトラバーサル脆弱性はどれか。

GitHub ActionsやJenkinsなどのビルドログにおいて、コマンドのデバッグ出力などが有効になっている場合に漏洩するリスクが高い情報はどれか。

リバースプロキシ環境下で、攻撃者が `X-Forwarded-For` ヘッダーを偽装して送信する主な目的は何か。

Dockerコンテナを `–privileged` フラグ付きで実行した場合のセキュリティリスクは何か。

AWS S3バケットのACL設定における「Authenticated Users」グループが意味する正しい内容はどれか。

AWS環境のセキュリティ評価を行うためのオープンソースの攻撃フレームワークで、権限昇格やデータ抽出などのモジュールを備えたツールはどれか。