最新のPT0-002日本語問題集PDFでPT0-002日本語リアルで有効な正確な問題集は310問題と解答が待ってます! [Q11-Q27]

Share

最新のPT0-002日本語問題集PDFでPT0-002日本語リアルで有効な正確な問題集は310問題と解答が待ってます!

100%無料PT0-002日本語試験問題集リアルCompTIA PenTest+問題集を試そう

質問 # 11
クライアントは、侵入テスト スキャンに次の UDP サービスを含めるように要求しました: SNMP、NetBIOS、および DNS。次の Nmap コマンドのうち、スキャンを実行するのはどれですか?

  • A. nmap -vv sUV -p 53,137-139,161-162 10.10.1.20/24 -oA udpscan
  • B. nmap -vv sUV -p 53, 122-123, 160-161 10.10.1.20/24 -oA udpscan
  • C. nmap -vv sUV -p 53, 123-159 10.10.1.20/24 -oA udpscan
  • D. nmap -vv sUV -p 53,123,161-162 10.10.1.20/24 -oA udpscan

正解:A


質問 # 12
評価中、ペネトレーション テスターは LFI の脆弱性を悪用し、Web ログを参照してターゲットの Apache サーバーを探します。次の手順のうち、侵入テスターが NEXT を使用して Web サーバーをさらに悪用しようとする可能性が最も高いのはどれですか? (2つ選んでください。)

  • A. サーバー側のリクエスト フォージェリ
  • B. コマンドインジェクション
  • C. クロスサイト スクリプティング
  • D. クロスサイト リクエスト フォージェリ
  • E. ログポイズニング
  • F. SQL インジェクション

正解:B、E

解説:
Explanation
Local File Inclusion (LFI) is a web vulnerability that allows an attacker to include files on a server through the web browser. This can expose sensitive information or lead to remote code execution.
Some possible next steps that a penetration tester can try after exploiting an LFI vulnerability are:
Log poisoning: This involves injecting malicious code into the web server's log files and then including them via LFI to execute the code34.
PHP wrappers: These are special streams that can be used to manipulate files or data via LFI. For example, php://input can be used to pass arbitrary data to an LFI script, or php://filter can be used to encode or decode files5.


質問 # 13
企業組織との契約を準備する際に、侵入テスト活動を開始する前に完全に開発する必要がある最も重要な項目の 1 つは、次のうちどれですか?

  • A. クライアントから資産インベントリを取得します。
  • B. すべての利害関係者にインタビューします。
  • C. 関係するすべての第三者を特定します。
  • D. 作業明細書を明確にします。

正解:D


質問 # 14
侵入テスターは、R​​OE によって許可されている概念実証攻撃を検証するために、大規模なデータ セットの転送を開始しました。テスターは、クライアントのデータに範囲外の PII が含まれていることに気付き、すぐに転送を停止しました。ペネトレーションテスターの決定を説明する可能性が最も高いのは、次のうちどれですか?

  • A. テスターは、データ セット内で以前の侵害の証拠を発見しました。
  • B. テスターは評価時間枠の終わりに達しました。
  • C. テスターは、評価ワークフローの割り当てられた部分を完了しました。
  • D. テスターは転送を停止する状況認識を持っていました。

正解:D


質問 # 15
侵入テスト ツールへの入力としてスクリプトまたはプログラムに入力できる英数字データを格納するために使用できるのは、次のうちどれですか?

  • A. for ループ
  • B. 辞書
  • C. シンボリックリンク
  • D. カタログ
  • E. ディレクトリ

正解:B

解説:
Explanation
A dictionary can be used to store alphanumeric data that can be fed into scripts or programs as input to penetration-testing tools. A dictionary is a collection of key-value pairs that can be accessed by using the keys.
For example, a dictionary can store usernames and passwords, or IP addresses and hostnames, that can be used as input for brute-force or reconnaissance tools.


質問 # 16
侵入テスト レポートをクライアントに送信する最も安全な方法は次のうちどれですか?

  • A. 侵入テスト レポートをパスワードで保護された ZIP ファイルに入れて送信します。
  • B. 侵入テストレポートをクライアントの公開鍵で暗号化し、電子メールで送信します。
  • C. HTTPS 接続を使用して Web メール経由でペネトレーション テスト レポートを送信します。
  • D. オンラインストレージシステム上でペネトレーションテストレポートを送信します。

正解:B

解説:
Explanation
This is the most secure method for sending the penetration test report to the client because it ensures that only the client can decrypt and read the report using their private key. Encrypting the report with the client's public key prevents anyone else from accessing the report, even if they intercept or compromise the email. The other methods are not as secure because they rely on weaker or no encryption, or they expose the report to third-party services that may not be trustworthy or compliant.


質問 # 17
侵入テスターが、ディレクトリ トラバーサル経由でパスにアップロードする機能を提供する脆弱性を発見しました。この脆弱性によって発見されたファイルの一部は次のとおりです。

攻撃者が影響を受けるマシンへの内部アクセスを取得するための最良の方法は次のうちどれですか?

  • A. リモート コールバック用の 1 行のコードで、検出されたファイルを編集します。
  • B. .pl ファイルをダウンロードし、ユーザー名とパスワードを探します
  • C. smb.conf ファイルを編集し、サーバーにアップロードします。
  • D. smb.conf ファイルをダウンロードし、構成を確認します。

正解:C


質問 # 18
ある企業は、ネットワーク上でワイヤレス IDS を構成するためにペネトレーション テスターを採用しました。次のツールのうち、ワイヤレス IDS ソリューションの有効性をテストするのに最も適しているのはどれですか?

  • A. ワイファイテ
  • B. エアクラッキング
  • C. ワイヤーシャーク
  • D. キスメット

正解:B


質問 # 19
侵入テスト チームは、会社のオフィスで電子記録のセキュリティをテストする必要があります。契約条件により、侵入テストは営業時間後に実施する必要があり、アラームの回避や破壊的な侵入の実行を含めるべきではありません。外部の偵察中に、チームは隣接する建物からドアが開いているのを確認します。エンゲージメントの条件の下で許可されるのは、次のうちどれですか?

  • A. 記録室の鍵をこじ開ける
  • B. 隣接する建物の開いた窓に登る
  • C. 記録室の廊下にあるモーション センサーを妨害する
  • D. 夜間警備員に偽の社員証を提示する行為

正解:B

解説:
Explanation
The terms of engagement state that the penetration test should not include circumventing the alarm or performing destructive entry, which rules out options A and D. Option C is also not allowed, as it involves social engineering, which is not part of the scope. Option B is the only one that does not violate the terms of engagement, as it uses an open door from an adjoining building to gain access to the records room. This can help the penetration tester to test the physical security of the electronic records without breaking any rules.


質問 # 20
侵入テストを実行しているテスターは、リモート攻撃に対して重大な脆弱性があることが知られている古いファイアウォールを発見しましたが、エンゲージメントの IP アドレスの元のリストには含まれていません。テスターが取るのに最適なオプションは次のうちどれですか?

  • A. ファイアウォールをクラウドからセグメント化します。
  • B. ファイアウォールについてクライアントに通知します。
  • C. ファイアウォールにパッチを適用します。
  • D. ファイアウォールの脆弱性をスキャンします。

正解:B


質問 # 21
侵入テスト中、テスト担当者は、Bluetooth フレームをブロードキャストしているネットワーク管理者が所有する企業のモバイル デバイスの近くにいます。
侵入テスターが実行できる Bluesnarfing 攻撃の例は次のうちどれですか?

  • A. 2 つの Bluetooth デバイス間の接続を切断します。
  • B. デバイスのユーザー アドレス帳をダンプします。
  • C. テキスト メッセージをデバイスに送信します。
  • D. 関連付けられている WiFi デバイスの WPS PIN をスニッフィングしてクラックします。

正解:B

解説:
Explanation
Bluesnarfing is the unauthorized access of information from a wireless device through a Bluetooth connection, often between phones, desktops, laptops, and PDAs. This allows access to calendars, contact lists, emails and text messages, and on some phones, users can copy pictures and private videos.


質問 # 22
侵入テスターは最近、企業環境内のコア ネットワーク デバイスのセキュリティのレビューを完了しました。主な調査結果は次のとおりです。
* ネットワーク デバイスへの次の要求が傍受されました:
GET /ログイン HTTP/1.1
ホスト: 10.50.100.16
ユーザーエージェント: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Accept-Language: en-US,en;q=0.5 接続: キープアライブ 認証: 基本 WU9VUilOQU1FOnNlY3JldHBhc3N3b3jk
* ネットワーク管理インターフェイスは、実稼働ネットワークで利用できます。
* Nmap スキャンは以下を返しました:

次のうち、最終レポートの推奨セクションに追加するのに最適なものはどれですか? (2つ選んでください。)

  • A. SSH デーモンを無効にするかアップグレードします。
  • B. 強化されたパスワードの複雑さの要件を適用します。
  • C. 認証のためのより良い方法を実装します。
  • D. ネットワーク管理および制御インターフェースを排除します。
  • E. HTTP/301 リダイレクト構成を無効にします。
  • F. 管理用の帯域外ネットワークを作成します。

正解:E、F


質問 # 23
侵入テスターが、保護されていない内部ソース コード リポジトリで、Web アプリケーションによって使用される PHP スクリプトを見つけます。コードを確認した後、テスターは次のことを確認します。

テスト担当者がこのシナリオの攻撃を準備するのに役立つツールは次のうちどれですか?

  • A. Burp Suite と DIRB
  • B. Nmap と OWASP ZAP
  • C. ハイドラとクランチ
  • D. Netcat と cURL

正解:D


質問 # 24
侵入テスターは、Web サイトで発見された検索フォームで入力の検証をテストしています。次の文字のうち、Web サイトの脆弱性をテストするための最良のオプションはどれですか?

  • A. セミコロン
  • B. ダブルダッシュ
  • C. 一重引用符
  • D. カンマ

正解:C

解説:
Explanation
A single quote (') is a common character used to test for SQL injection vulnerabilities, which occur when user input is directly passed to a database query. A single quote can terminate a string literal and allow an attacker to inject malicious SQL commands. For example, if the search form uses the query SELECT * FROM products WHERE name LIKE '%user_input%', then entering a single quote as user input would result in an error or unexpected behavior


質問 # 25
Web アプリケーションのテスト中に、侵入テスターは https://company.com に移動し、Web ページ上のすべてのリンクを表示できました。ページを手動で確認した後、テスト担当者は Web スキャナーを使用して脆弱性の検索を自動化しました。Web アプリケーションに戻ると、ブラウザーに次のメッセージが表示されました: このページを表示する権限がありません。次のうち、何が起こったのかを最もよく説明しているのはどれですか?

  • A. テスター IP がブロックされました。
  • B. SSL 証明書が無効です。
  • C. スキャナーがシステムをクラッシュさせました。
  • D. Web ページが見つかりませんでした。

正解:A


質問 # 26
侵入テスターがクライアントの Web サイトを探索しています。テスターは curl コマンドを実行し、以下を取得します。
* 10.2.11.144 (::1) ポート 80 (#0) に接続
> GET /readmine.html HTTP/1.1
> ホスト: 10.2.11.144
> ユーザーエージェント: curl/7.67.0
> 受け入れる: */*
>
* バンドルをマルチユースをサポートしていないとマークする
< HTTP/1.1 200
< 日付: 2021 年 2 月 2 日 (火) 21:46:47 GMT
< サーバー: Apache/2.4.41 (Debian)
< コンテンツの長さ: 317
< コンテントタイプ: text/html; charset=iso-8859-1
<
<!DOCTYPE html>
<html lang="en">
<頭>
<meta name="viewport" content="width=デバイスの幅" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>WordPress › お読みください</title>
<link rel="stylesheet" href="wp-admin/css/install.css?ver=20100228" type="text/css" />
</head>
侵入テスターがこのサイトをさらに探索するために使用するのに最適なツールは次のうちどれですか?

  • A. バープ スイート
  • B. OWASP ZAP
  • C. ダーバスター
  • D. WPスキャン

正解:D

解説:
Explanation
WPScan is a tool that can be used to scan WordPress sites for vulnerabilities, such as outdated plugins, themes, or core files, misconfigured settings, weak passwords, or user enumeration. The curl command reveals that the site is running WordPress and has a readme.html file that may disclose the version number. Therefore, WPScan would be the best tool to use to explore this site further. Burp Suite is a tool that can be used to intercept and modify web requests and responses, but it does not specialize in WordPress scanning. DirBuster is a tool that can be used to brute-force directories and files on web servers, but it does not exploit WordPress vulnerabilities. OWASP ZAP is a tool that can be used to perform web application security testing, but it does not focus on WordPress scanning.


質問 # 27
......

あなたを余裕でPT0-002日本語は100%試験合格率保証:https://www.jpntest.com/shiken/PT0-002J-mondaishu

弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

オンラインサポート時間:( UTC+9 ) 9:00-24:00
月曜日から土曜日まで

サポート:現在連絡