最新のCompTIA PT0-002日本語のPDFと問題集で(2023)無料試験問題解答
あなたを合格させるCompTIA PenTest+ PT0-002日本語試験問題集で2023年06月01日には280問あります
質問 # 51
大規模なクライアントは、インターネットに面しているネットワーク内のデバイスをスキャンするペネトレーション テスターを必要としています。クライアントは、特に認証要件のない Cisco デバイスを探しています。Shodan の次の設定のうち、クライアントの要件を満たすものはどれですか?
- A. 「cisco-ios」「パスワードなし」
- B. 「cisco-ios」「最終変更」
- C. 「cisco-ios」「デフォルトパスワード」
- D. 「cisco-ios」「admin+1234」
正解:A
質問 # 52
次のプロトコルまたはテクノロジーのうち、最終的なセキュリティ評価レポートを電子メールで送信するための転送中の機密性保護を提供するのはどれですか?
- A. AS2
- B. S/MIME
- C. DNSSEC
- D. FTPS
正解:B
質問 # 53
次の概念のうち、侵入テスト中に実行される特定の一連の手順とアプローチを定義するものはどれですか?
- A. 方法論
- B. 作業明細書
- C. スコープの詳細
- D. 所見
正解:A
質問 # 54
ペネトレーション テスターは、未知の Linux 64 ビット実行可能バイナリを発見しました。この問題を分析するために使用するのに最適なツールは次のうちどれですか?
- A. ピーチ
- B. WinDbg
- C. OllyDbg
- D. GDB
正解:D
解説:
Explanation
OLLYDBG, WinDBG, and IDA are all debugging tools that support Windows environments. GDB is a Linuxspecific debugging tool.
質問 # 55
侵入テスターは、クライアントのシステムの評価中にいくつかの重大な SQL インジェクションの脆弱性を発見しました。テスターは、できるだけ早くクライアントに軽減策を提案したいと考えています。
次の修復手法のうち、推奨するのに最適なものはどれですか? (2つ選んでください。)
- A. 開いているサービスを閉じる
- B. パラメータ化されたクエリ
- C. ユーザーの入力検証
- D. 出力エンコーディング
- E. 暗号化ユーザーのパスワード
- F. ユーザーの資格情報のランダム化
正解:B、C
質問 # 56
侵入テスターはマシンで unshadow コマンドを実行します。次のツールのうち、テスターが NEXT を使用する可能性が最も高いのはどれですか?
- A. ヒドラ
- B. 模倣
- C. ジョン・ザ・リッパー
- D. カインとアベル
正解:C
質問 # 57
侵入テスターは、ROE によって許可されている概念実証攻撃を検証するために、大規模なデータ セットの転送を開始しました。テスターは、クライアントのデータに範囲外の PII が含まれていることに気付き、すぐに転送を停止しました。ペネトレーションテスターの決定を説明する可能性が最も高いのは、次のうちどれですか?
- A. テスターは評価時間枠の終わりに達しました。
- B. テスターは転送を停止する状況認識を持っていました。
- C. テスターは、データ セット内で以前の侵害の証拠を発見しました。
- D. テスターは、評価ワークフローの割り当てられた部分を完了しました。
正解:B
質問 # 58
アクティブなサービスの列挙の過程で、ペネトレーション テスターは、対象企業のサーバーの 1 つで実行されている SMTP デーモンを特定します。次のアクションのうち、テスト担当者が評価の後の段階でフィッシングを実行できるようにするのに最も適しているのはどれですか?
- A. サービスに対してブルート フォース認証を試みます。
- B. RFC で定義されたプロトコルの適合性をテストします。
- C. 逆引き DNS クエリを実行し、サービス バナーと照合します。
- D. オープン リレー構成を確認します。
正解:D
解説:
Explanation
SMTP is a protocol associated with mail servers. Therefore, for a penetration tester, an open relay configuration can be exploited to launch phishing attacks.
質問 # 59
ペネトレーション テスターは、エンゲージメントの範囲内にある Web サーバーが既にバックドアによって侵害されていることを発見しました。ペネトレーションテスターが次に行うべきことは次のうちどれですか?
- A. エンゲージメントを継続し、バックドアの発見を最終レポートに含めます
- B. 関与を支援するためにバックドアを利用する
- C. バックドアについてすぐに顧客に知らせる
- D. バックドア型トロイの木馬をフォレンジックに取得し、帰属を実行
正解:C
質問 # 60
企業は、共有ネットワーク帯域幅を持つクラウド プロバイダーを使用して、専用サーバーで Web アプリケーションをホストしています。企業がクラウド プロバイダーと連絡を取ることで、クラウド プロバイダーの他の顧客に干渉するような活動を防ぐことができます。侵入テスト会社と協力してアプリケーションをテストする場合、会社が避けるべきことは次のうちどれですか?
- A. DDoS 保護をテストするために、1 秒あたり多数の Web 要求を送信する
- B. アプリケーションのサーバーのすべての IP アドレスのフィンガープリント
- C. Web アプリケーションの URL をクロールして脆弱性を探す
- D. アプリケーションのパスワードのブルート フォース攻撃
正解:A
質問 # 61
メール サービス会社は、侵入テスターを雇って、SMTP サーバー上のすべてのユーザー アカウントの列挙を実施し、以前のスタッフ メンバーのアカウントがまだアクティブであるかどうかを特定しました。目標を達成するために使用すべきコマンドは次のうちどれですか?
- A. VRFYとTURN
- B. VRFY と EXPN
- C. RCPT TO および VRFY
- D. EXPN と TURN
正解:B
質問 # 62
次のツールのうち、Web アプリケーションのセキュリティ評価を手動で実行するのに最も適しているのはどれですか?
(2つ選んでください。)
- A. バープスイート
- B. ネッスス
- C. OWASP ZAP
- D. Nmap
- E. ハイドラ
- F. ビーフ
正解:A、C
質問 # 63
システム管理者と技術スタッフが閲覧できる侵入テストレポートの修復セクションを作成する際に、次のどのタイプの情報を含める必要がありますか?
- A. エグゼクティブ サマリーと試験会社に関する情報
- B. 評価からのエンゲージメントのルール
- C. 侵害された場合のビジネスへの影響に関する情報
- D. 脆弱性の簡単な説明とそれを修正するための高度なコントロール
正解:D
解説:
Explanation
The systems administrator and the technical stuff would be more interested in the technical aspect of the findings
質問 # 64
侵入テスターは、保護されていないネットワーク ファイル リポジトリで、クリアテキストのユーザー名とパスワードを含むテキスト ファイルと、氏名、役割、シリアル番号を含む 50 人の従業員のデータを含むスプレッドシートを発見します。テスト担当者は、テキスト ファイル内のパスワードの一部が <name-serial_number> の形式に従っていることに気付きました。テスターがこの情報を使用して NEXT を実行するのに最適なアクションは、次のうちどれですか?
- A. すべてのシステムとアプリケーションでパスワード複雑性ルールを構成することをお勧めします。
- B. 保護されていないファイル リポジトリを検出結果として侵入テスト レポートに記録します。
- C. パスワード スプレー テストの準備として、カスタム パスワード辞書を作成します。
- D. パスワードを安全に保管するために、テキスト ファイルの代わりにパスワード管理/ボールトを使用することをお勧めします。
正解:B
質問 # 65
あなたは、Web サーバーの強化を担当するセキュリティ アナリストです。
悪意のあるものとしてフラグが付けられた HTTP ペイロードのリストが提供されています。
手順
次の攻撃シグネチャを考慮して、攻撃の種類を特定し、関連する修復を特定して、将来の攻撃を防ぎます。
いつでもシミュレーションを初期状態に戻したい場合は、[すべてリセット] ボタンをクリックしてください。
正解:
解説:
Explanation
1. Reflected XSS - Input sanitization (<> ...)
2. Sql Injection Stacked - Parameterized Queries
3. DOM XSS - Input Sanitization (<> ...)
4. Local File Inclusion - sandbox req
5. Command Injection - sandbox req
6. SQLi union - paramtrized queries
7. SQLi error - paramtrized queries
8. Remote File Inclusion - sandbox
9. Command Injection - input saniti $
10. URL redirect - prevent external calls
質問 # 66
侵入テストの取り組みを計画するときは、テストの実行に最適な時間帯に関する規則を明確に表現することが重要です。その理由は次のとおりです。
- A. ビジネスおよびネットワーク運用に影響が及ぶ可能性があります。
- B. セキュリティ コンプライアンス規則または法律に違反している可能性があります。
- C. テストにより、実際の APT の検出がより困難になる可能性があります。
- D. テストは、防御的なサイバーおよび脅威ハンティング チームの作業負荷を増大させます。
正解:A
質問 # 67
Python ソケット プログラミングでは、SOCK_DGRAM タイプは次のとおりです。
- A. マトリックス。
- B. コネクションレス。
- C. 信頼できる。
- D. 遅くなります。
正解:B
解説:
Explanation
Connectionless due to the Datagram portion mentioned so that would mean its using UDP.
質問 # 68
侵入テスターは、クライアントの重要なサーバーに対して脆弱性スキャンを実施し、次のことを発見しました。
次のうち、是正のための推奨事項はどれですか?
- A. セキュアなソフトウェア開発ライフサイクルを利用する
- B. ユーザー トレーニング プログラムを展開する
- C. 各サーバーでアクセス制御を構成する
- D. パッチ管理計画の実施
正解:D
質問 # 69
侵入テスターは、攻撃者が物理アクセス制御システムに使用される特殊な TCP サービスを介してドアを開けることを可能にする脆弱性を探しています。サービスは 100 を超えるさまざまなホストに存在するため、テスターは評価を自動化したいと考えています。識別には、ペネトレーション テスターが次のことを行う必要があります。
* 完全な TCP 接続がある
* 「hello」ペイロードを送信
* 応答のためのウォルト
* 16 バイトを超える文字列を送信する
次のアプローチのうち、目的を最もよくサポートするのはどれですか?
- A. nmap -Pn -sV -script vuln <IP アドレス> を実行します。
- B. Lua 言語でスクリプトを作成し、NSE で使用します。
- C. Nessus で認証済みスキャンを実行します。
- D. ホストの TCP ポートに対して OpenVAS シンプル スキャンを使用します。
正解:B
解説:
Explanation
The Nmap Scripting Engine (NSE) is one of Nmap's most powerful and flexible features. It allows users to write (and share) simple scripts (using the Lua programming language ) to automate a wide variety of networking tasks. https://nmap.org
質問 # 70
......
PT0-002日本語問題集はCompTIA PenTest+認証済み試験問題と解答:https://www.goshiken.com/CompTIA/PT0-002J-mondaishu.html