HOME
Lv028

「Lv028」の記事一覧

Wiresharkでキャプチャしたデータから「Telnet」や「FTP」の通信を探す際に、最も警戒すべきリスクはどれか。

TelnetやFTPは暗号化されていないプロトコルであり、通信内容が第三者に容易に盗聴される。

2026年3月7日

報告書において、脆弱性の悪用が「現実的に可能であること」を証明するために添付するものはどれか。

PoC（Proof of Concept）は、その脆弱性が単なる理論上の話ではないことを実証する。

2026年3月7日

脆弱性スキャナーがデータベースに対して「バージョン情報の露出」を指摘した場合、推奨される対策はどれか。

不必要な詳細情報の露出（バナー）を制限することで、攻撃者の偵察を困難にできる。

2026年3月7日

Webサイト上で実行されるJavaScriptを改ざんし、ユーザーが入力したクレジットカード情報を外部へ送信させる攻撃はどれか。

Magecartなどの攻撃は、決済フォームなどのスクリプトを乗っ取って情報を窃取する。

2026年3月7日

公開されている過去の「パスワード漏洩リスト（Dump）」から、ターゲット企業のメールアドレスを検索する目的はどれか。

流出した過去のパスワードを試用することで、現在も同じものを使っているアカウントを特定できる。

2026年3月7日

クラウド環境でのペネトレーションテストにおいて、特に配慮が必要な「共有インフラ」への攻撃が禁止される理由はどれか。

共有環境では、自社ターゲットへの攻撃が無関係な第三者のサービス停止を招く恐れがある。

2026年3月7日

Burp Suiteの「Repeater」機能の主な用途はどれか。

Repeaterは、パラメータを少しずつ変えて手動で脆弱性を深掘りする際に非常に便利である。

2026年3月7日

修正後の再テスト（Re-testing）の結果、脆弱性が修正されていないことが判明した場合、テスターが取るべき行動はどれか。

未修正の脆弱性が残っている場合は、その事実を正確に伝え、対策の再検討を依頼する必要がある。

2026年3月7日

複数のパケットを送信してターゲットを過負荷にし、正常なサービス提供を妨害する攻撃を何と呼ぶか。

DoS攻撃は、システムの可用性を損なわせることを主目的とした攻撃である。

2026年3月7日

脆弱性スキャン結果において、実際には脆弱性ではないのに脆弱性と判定される「偽陽性」が発生しやすいスキャンタイプはどれか。

認証なしスキャンは推測に基づく部分が多いため、認証ありスキャンに比べて精度が落ちる。

2026年3月7日