説明
侵入テスターは、クラウドプロバイダーのメタデータサービスの脆弱性を悪用する攻撃であるメタデータサービス攻撃を実行しようとしている可能性が高いと考えられます。メタデータサービスは、クラウドインスタンスのIPアドレス、ホスト名、認証情報、ユーザーデータ、ロール権限などの情報を提供するサービスです。クラウドインスタンス内からメタデータサービスにアクセスできるのは、AWS、Azure、GCPの場合は169.254.169.254などの特別なIPアドレスです。侵入テスターが実行するコマンドはcurlコマンドで、サーバーとの間でデータの送受信に使用されます。curlコマンドは、/latest/meta-data/iam/security-credentials/や/latest/user-data/など、異なるパスを使用してメタデータサービスのIPアドレスからデータを要求します。これらのパスは、IAMロール認証情報やユーザーデータスクリプトなど、クラウドインスタンスに関する機密情報を明らかにする可能性があります。侵入テスターは、この情報を使用して権限を昇格したり、他のリソースにアクセスしたり、クラウド環境で他のアクションを実行したりする可能性があります。その他のオプションは、侵入テスターが実行しようとしている攻撃ではない可能性があります。

契約条件では、侵入テストに警報の回避や破壊的な侵入は含まれてはならないと定められているため、オプションAとDは除外されます。オプションCも、範囲外であるソーシャルエンジニアリングを伴うため許可されません。オプションBは、隣接する建物の開いたドアを利用して記録室にアクセスするため、契約条件に違反しない唯一の方法です。これにより、侵入テスト担当者は規則に違反することなく、電子記録の物理的なセキュリティをテストできます。

攻撃者はURL内のserviceIDパラメータを連続的に変更しており、おそらく閲覧権限のないオブジェクトへのアクセスを試みていると考えられます。これは、入力操作やURLパラメータの変更によってオブジェクトへの不正アクセスが発生する可能性のある、安全でない直接オブジェクト参照（IDOR）の脆弱性を悪用しようとしていることを示しています。
安全でない直接オブジェクト参照（IDOR）の脆弱性は、アプリケーションがファイル、ディレクトリ、データベースレコード、キーなどの内部オブジェクトへの参照を、適切な認証または検証メカニズムなしに公開した場合に発生します。これにより、攻撃者は参照を操作し、アクセス権限のないオブジェクトにアクセスできるようになります。今回のケースでは、攻撃者はservicestatus.phpスクリプトのIDOR脆弱性を悪用しようとしていました。このスクリプトは、サービスオブジェクトを直接参照するserviceIDパラメータを受け入れます。serviceIDパラメータの値を変更することで、攻撃者は本来アクセスできない別のサービスにアクセスできるようになります。参考資料：公式CompTIA PenTest+学生ガイド（試験PT0-002）電子書籍、第4章、セクション4.2.2「安全でない直接オブジェクト参照」、PenTest+認定資格の学習リソースとトレーニング資料のベスト1「クロスサイトスクリプティング（XSS）攻撃」。

説明
グラフィカルユーザーインターフェースの説明は自動的に生成されます

$X=2,4,6,8,9,20,5
$y=[System.Collections.ArrayList]$X
$y.RemoveRange(1,2) ご覧の通り、arratには括弧もピリオドもありません。リストされた項目や値を区切るためにセミコリンズが使われています。