JPN試験
  1. ホーム
  2. EC-COUNCIL
  3. 412-79v8 - EC-Council Certified Security Analyst (ECSA)
  4. EC-COUNCIL.412-79V8.v2018-12-07.q152
  5. 質問151
<<前へ 次へ>>

質問 151/152

ブラインドSQLインジェクションは、SQLインジェクション攻撃の一種で、データベースに真または偽の質問を行い、アプリケーションの応答に基づいて回答を決定します。この攻撃は、Webアプリケーションが一般的なエラーメッセージを表示するように設定されていても、SQLインジェクションに脆弱なコードを緩和していない場合によく使用されます。

SQLの脆弱性を悪用しようとしているときにアプリケーションからエラーメッセージが受信されなかった場合に実行されます。エラーメッセージではなく、開発者固有のメッセージが表示されます。このような場合にSQLの脆弱性を見つけるのは非常に難しいです。
ペンテスターがブラインドSQLインジェクションを使用してデータベース名を抽出しようとしています。彼は以下のクエリを使用してデータベースをテストし、最後にデータベース名を検索します。
http://juggyboy.com/page.aspx?id=1; IF(LEN(DB_NAME())= 4)WAITFOR DELAY '00:00:10 ' -
http://juggyboy.com/page.aspx?id=1; IF(ASCII(lower(substring(DB_NAME())、1,1)))= 97)WAITFOR DELAY '00:00:10 ' -
http://juggyboy.com/page.aspx?id=1; IF(ASCII(下位)(DB_NAME())、2,1)))= 98)WAITFOR DELAY '00:00:10 ' -
http://juggyboy.com/page.aspx?id=1; IF(ASCII(下位)(DB_NAME())、3,1)))= 99)WAITFOR DELAY '00:00:10 ' -
http://juggyboy.com/page.aspx?id=1; IF(ASCII(下位)(DB_NAME())、4,1)))= 100)WAITFOR DELAY '00:00:10 ' -
データベース名とは何ですか?

コメントを発表する

あなたのメールアドレスは公開されません。必要な部分に * が付きます。

質問一覧「152問」
質問1 侵入テストは、攻撃前段階、攻撃段階、および攻撃後段階の3つの
質問2 脆弱性評価は、現在のセキュリティ手順やコントロールを含むシス
質問3 ファイアウォールは、機密性を損なう可能性のある意図的な敵意の
質問4 次のうち、レポートに使用されているすべての技術用語の詳細なリ
質問5 NetBIOSサービスで使用されるデフォルトのポートはどれですか?...
質問6 次の中で、セキュリティの問題を時間的に解決し、組織の悪用や脅
質問7 POP3およびPOP3Sプロトコルで使用されるポート番号を特定します...
質問8 以下の行為のいずれかが、暗号化されていないか、または許可され
質問9 VoIPトラフィックのフィルタリングに使用できないプロトコルはど...
質問10 外部からの侵入テストと分析は、クライアントのシステムとネット
質問11 米国における情報セキュリティに関する次の行為は、組織の経営陣
質問12 組織ネットワークに接続されているコンピュータの組織ネットワー
質問13 侵入テストを実施する前に、ペンテストを実施するための見積もり
質問14 5つの脅威クラスをネットワークに対処するための組織的かつ組織
質問15 次のうち、攻撃者が有効なユーザー名を推測するのに役立つWebア...
質問16 アクションまたはトランザクションが拒否できないことを保証する
質問17 これは、侵入テスト後に発見されたシステムに存在する脆弱性の詳
質問18 重大な機密情報や営業秘密を保護するために、ペンテスターと顧客
質問19 TCP / IPは、ネットワーク上のさまざまなアプリケーションに対し...
質問20 次のポリシーのうち、会社システムとネットワークのすべての使用
質問21 セキュリティ監査者は、一般的に使用されているWAPを識別するNes...
質問22 DMZ(Demilitarized Zone)は、企業のプライベートネットワーク...
質問23 ファイアウォールは、流れるネットワークトラフィックにフィルタ
質問24 Nmapツールを使用してターゲットネットワーク(10.0.0.7)上でNT...
質問25 次の内セキュリティ評価侵入テスト戦略に関連しないものはどれで
質問26 ペンテストレポートで検出された脆弱性の優先順位付けには、どの
質問27 ボストンの法律事務所に雇われたITセキュリティ監査員として働い...
質問28 侵入テストレポートの目標は何ですか? (Exhibit)
質問29 ブラックボックステストは、ソフトウェアテストの方法であり、ア
質問30 ネットワーク上で脆弱性スキャンを実行しているときに、IDSが接...
質問31 攻撃者は、Webサービス認証メカニズムをバイパスし、バックエン...
質問32 DNS情報レコードは、次の重要なデータを提供します。
質問33 パスワードは、コンピュータリソースとファイルを悪意のあるユー
質問34 アプリケーションセキュリティ評価は、ペンテスターが攻撃フェー
質問35 ARPスプーフィングは、攻撃者が偽の( "なりすまし")アドレス解...
質問36 リモートのNessusクライアントからNessusにリモート接続できるよ...
質問37 インターネット制御メッセージプロトコル(ICMP)メッセージは、...
質問38 インターネットのような保護されていない媒体を介して機密データ
質問39 攻撃者は秘密のアカウントを作成し、認証手続きを迂回してバック
質問40 侵入テストの第一歩は、情報収集です。このテストの主な目的は、
質問41 ポート番号は、ネットワークを横切る異なる会話を同時に追跡する
質問42 Wiresharkはネットワークアナライザです。ネットワークからパケ...
質問43 ファイアウォールルールとログメカニズムをバイパスし、通常のネ
質問44 主要なデビットカード、クレジットカード、プリペイドカード、電
質問45 インターネットリレーチャット(IRC)は、チャットルームのポリ...
質問46 Tracerouteは、インターネットプロトコル(IP)ネットワーク上の...
質問47 次の図に示す攻撃を特定します。 (Exhibit)
質問48 SQLインジェクション攻撃は、ハッカーの間ではますます人気が高...
質問49 どのタイプのセキュリティポリシーが以下の設定に適用されますか
質問50 ネットワークスキャンは、使用可能なネットワークリソースを識別
質問51 以下の情報のうち、関与規則(ROE)文書によって提供されていな...
質問52 次の報告書の中で、完全なペンテストプロセスの概要、その結果、
質問53 脆弱性評価の次のアプローチのどれが、管理者がシステム構成のベ
質問54 ペン試験会社の侵入テストマネージャーのジョンは、クライアント
質問55 デフォルトでは、TFTPサーバーはUDPポート69で待機します。ロー...
質問56 HTTPプロトコルでは、%xx表記を使用して任意のバイナリ文字をUR...
質問57 どのWiresharkフィルタが、送信元ホストのIPアドレスが10.0.0.7...
質問58 SQLのWHERE句は、SQLデータ操作言語(DML)文が指定された条件を...
質問59 Amazonを利用しているIT企業は、インターネットの利用状況を調査...
質問60 情報収集のステップの1つは、Googleで複雑なキーワードを使用し...
質問61 Linuxでは、/ etc / shadowファイルは、ユーザーのパスワードに...
質問62 サーバー発見を実行するために使用される以下の方法のどれですか
質問63 ほとんどのデータベースシステムでは、「tinyint」フィールドの...
質問64 インターネット制御メッセージプロトコル(ICMP)メッセージは、...
質問65 組織の情報のプライバシーを保護し、データを保護するのに役立つ
質問66 タイミングはポートスキャンの要素であり、これを認識できないこ
質問67 侵入テスターは、ターゲットマシンから別のマシンにデータベース
質問68 NessusはサーバーまたはネットワークでDoSの脆弱性をテストでき...
質問69 今日、ほとんどの組織は、最も価値の高いIT資産がアプリケーショ...
質問70 LM、NTLMv1の値が64ビット+ 64ビット+ 64ビット、NTLMv2の値が12...
質問71 侵入テスターのJohnは、プロジェクトを定義し、目標、目的、期限...
質問72 伝送制御プロトコル(TCP)は、接続指向の4層プロトコルです。メ...
質問73 以下に示す認証メカニズムのタイプを特定します。 (Exhibit)...
質問74 侵入テストを開始する前に法的合意が重要な理由は何ですか? (Ex...
質問75 外部侵入テストでは、Nmapのようなツールを使用してターゲットサ...
質問76 ネットワークスイッチを対象としたARPキャッシュポイズニング技...
質問77 ディレクトリトラバーサル(またはパストラバーサル)は、ユーザ
質問78 次の802.11タイプのどれが変調用にFHSSまたはDSSSを使用していま...
質問79 米国における情報セキュリティに関連する次の行為のうち、適切な
質問80 次のファイアウォールのうち、プロキシがないサービスへのアクセ
質問81 Webパラメータの改ざん攻撃は、ユーザーの資格情報とアクセス許...
質問82 アンテナは、一般に電波と呼ばれる電磁波を送受信するように設計
質問83 次のうちHamel and Prahalad(1990)が指定した条件ではないもの...
質問84 Jamesは、ルータのDoS攻撃に耐える能力をテストしています。 Jam...
質問85 TCP / IPモデルは、IPベースのネットワークにおける通信を定義す...
質問86 脆弱性評価とは、現在のセキュリティ手順やコントロールを含むシ
質問87 組織の従業員または管理責任者に何も情報を与えずに実行されるテ
質問88 次の図から、IPv4ネットワーク上にIPv6を展開するための移行メカ...
質問89 以下の/ etc / passwdファイルの例では、太字文字列は何を示して...
質問90 次のうちTCP動作に該当する記述はどれですか? (Exhibit)...
質問91 セキュリティ分析のフレームワークは、セキュリティ上の問題を分
質問92 ハッカーがbusinessEntity、businesService、bindingTemplate、t...
質問93 次のうち普及率試験サービスの見積もりには通常含まれないものは
質問94 Windowsは、セキュリティアカウントマネージャデータベース(SAM...
質問95 次の情報収集手法のどれが、組織のWebベースのカレンダーと電子...
質問96 外部侵入テストは、侵入テストに対する伝統的なアプローチであり
質問97 IPプロトコルは、広範囲の伝送リンク上での使用のために設計され...
質問98 エンゲージメントルール(ROE)は、ペンテストを実施する正式な...
質問99 TCP / IPモデルでは、トランスポート層は送信元から宛先への信頼...
質問100 パケットフィルタリングファイアウォールは、通常、ルータの一部
質問101 セキュリティポリシーは、企業によって実装されるセキュリティコ
質問102 ペンテスタは、ブラインドSQLインジェクションを使用してデータ...
質問103 次の802.11タイプのどれがネットワークサポートとしてWLANを備え...
質問104 フレームワークは、複雑な問題をサポートし解決するために使用さ
質問105 ハッカーの視点からネットワークを評価して、外部からアクセス可
質問106 ITセキュリティの6つの基本概念は何ですか? (Exhibit)...
質問107 ファズテストやファジィングは、ソフトウェアやアプリケーション
質問108 5つのレベルからなるフレームワークを特定して、セキュリティプ
質問109 チップセットとは、協調して動作するように設計された集積回路の
質問110 ペンテスト会社の侵入テスター、ジョンは、Windowsのシステムデ...
質問111 フィッシング詐欺は電子メールスプーフィングやインスタントメッ
質問112 メイソンは、競争力のある情報を収集する組織を足跡付けしていま
質問113 下の図に示す注入攻撃を特定します。 (Exhibit)
質問114 次のうち、SQLインジェクション攻撃のキャラクターではないもの...
質問115 次のうち、ヘッダーとデータの長さを指定するオフセットフィール
質問116 要求されたドキュメントをブラウザに送信する直前に、Webサーバ...
質問117 ネットワークフィルタリングでトラフィックを転送または拒否する
質問118 ペンテストプロジェクトの次の内容は、プロジェクトに含まれる長
質問119 ユーザがそのサーバ上に存在しないことを示すメールシステムから
質問120 ソーシャルエンジニアリングという用語は、人々(従業員、ビジネ
質問121 無線通信により、ネットワークは有線ネットワークに触れることの
質問122 無線侵入検知システム(WIDS)は、無線スペクトルを監視して、不...
質問123 TCPパケットフィルタリングファイアウォールでは、認識されたコ...
質問124 ソーシャルエンジニアリングペンテストの目的は、組織内のセキュ
質問125 多くのセキュリティおよびコンプライアンスプロジェクトは、組織
質問126 IANA(Internet Assigned Numbers Authority)によって管理され...
質問127 クライアントの組織に提供されるサービスの詳細と、組織でテスト
質問128 戦争運転は、統計的な目的でワイヤレスアクセスポイントの人口を
質問129 次のうちファイアウォールの特徴ではないものはどれですか?
質問130 Gramm-Leach-Bliley Actの目的は次のどれですか?...
質問131 侵入テストのコンテキストでは、青のチーム化は何を意味しますか
質問132 ファイアウォールを特定するために、SYNパケットはHpingまたは他...
質問133 802.11(無線)パケットインジェクションのためのサポートツール...
質問134 侵入テスト計画の第1段階は、クライアントと協議してプロジェク
質問135 攻撃者がパスワードに関するいくつかの情報を持っているときに、
質問136 次のうちインターネットアドレスの代わりに偽装されたアドレスや
質問137 次のうち、NTLMv2認証メカニズムで使用されるパスワードハッシン...
質問138 あなたは企業に対して侵入テストを実施しており、重要な従業員で
質問139 ライブネットワークからデータをキャプチャし、それらのパケット
質問140 ポート番号は、ネットワークを横切る異なる会話を同時に追跡する
質問141 LMハッシュについて次のうちどれが当てはまりますか?
質問142 関連するアプリケーションの所有者がIT部門/リソースへの書面に...
質問143 次のスキャンのいずれかが開始されますが、選択された各ポートの
質問144 Amazon Consulting Corporationは、企業に侵入テストと管理セキ...
質問145 エンゲージメントルール(ROE)文書は、テストを実施するために...
質問146 次のIDS回避技術のうち、IDSはエンドシステムが受け入れるパケッ...
質問147 次の外部ペンテストテストでは、価格、ユーザー名とパスワード、
質問148 ペンテスターがショルダーサーフィンを行うために使用できる装置
質問149 基礎となるアプリケーション環境に関する手がかりはどこから収集
質問150 ダンプスターダイビングではどのような情報を収集できますか?
質問151 ブラインドSQLインジェクションは、SQLインジェクション攻撃の一...
質問152 次のうちルーティングプロトコルを適切に処理できないものはどれ