PT0-001日本語無料問題集「CompTIA PenTest+ Certification Exam (PT0-001日本語版)」

質問 1

侵入テスターは、会社の外部侵入評価を実行するために割り当てられています。次のうちどれが受動的情報収集プロセスに最も役立つでしょうか。（2つ選んでください。）

（A）ソーシャルメディアを検索して、協力しているテクノロジに関する情報を投稿している情報テクノロジの従業員を探します。

（B）ドメインおよびIPレジストリのWebサイトを使用して、会社の外部ネットブロックと外部向けアプリケーションを識別します。

（C）会社の建物の外で待って、従業員の後ろに追いつこうとします。

（D）会社の外部向けWebメールアプリケーションを特定し、ユーザーアカウントを列挙し、パスワードを推測してアクセスします。

（E）会社の外部ネットブロックに対して脆弱性スキャンを実行し、悪用可能な脆弱性を識別し、アクセスを試みる。

正解：A、D 解答を投票する

質問 2

ペネトレーションテスターは、自動スキャンを通じて、Tomcatサーバーがデフォルトの資格情報の使用を許可していることを発見しました。テスターは、デフォルトの資格情報を使用して、WARファイルをサーバーにアップロードできます。
次のうち、最も可能性の高いエクスプロイト後のステップはどれですか？

（A）サーバーにWebシェルをインストールします。

（B）デフォルトの認証情報を使用してSSH経由で接続します。

（C）カスタマイズされた/ etc / shadowファイルをアップロードします。

（D）ネットワークトラフィックを監視する

正解：A 解答を投票する

質問 3

次のHTTP応答があるとします。
http / 1.0 200 OK
サーバー：Apache
Set-Cookie：AUTHID = 879DHUT74D9A7C; httpのみ
コンテンツタイプ：text / html
接続：閉じる
XSS攻撃の次のどの側面が防止されますか？

（A）クロスサイトリクエストフォージェリ

（B）JavaScriptキーロガー

（C）セッションハイジャック

（D）クライアント側のWebサイト改ざん

正解：D 解答を投票する

質問 4

攻撃者のジョーは、被害者の口座から自分の口座に慎重に資金を送金しようとしています。この攻撃を実行するために彼が使用できるURLは次のうちどれですか？

（A）https：//testbank.com/BankingApp/ACH.aspx？CustID = 435345＆accountType = F＆action-ACHTransfer＆senderID = 654846＆notify = False＆creditaccount = 'または1 = 1そして、testbank.custinfoからユーザー名を選択します。 = 200

（B）https：//testbank.com/BankingApp/ACH.aspx？CustID = 435345＆accountType = F＆action-ACHTransfer＆senderID = 654846＆notify = True＆creditaccount = 'OR 1 = 1そして、testbank.custinfoからユーザー名を選択します。 = 200

（C）https：//testbank.com/BankingApp/ACH.aspx？CustID = 435345＆accountType = F＆action-ACHTransfer＆senderID = 654846＆notify = True＆creditaccount = 'AND 1 = 1 AND select username from testbank.custinfo where username like' Joe '-＆amount = 200

（D）https：//testbank.com/BankingApp/ACH.aspx？CustID = 435345＆accountType = F＆action-ACHTransfer＆senderID = 654846＆notify = False＆creditaccount = 'または1 = 1そして、testbank.custinfoからユーザー名を選択します。 200

正解：D 解答を投票する

質問 5

ペネトレーションテスターは、施設に物理的にアクセスし、内部ネットワークに直接接続しています。
ペネトレーションテスターは、サーバーVLANにピボットする必要があります。次のうちどれがこれを達成しますか？

（A）プリンターのMACアドレスのなりすまし

（B）STP攻撃を実施する

（C）DTPネゴシエーションの乱用

（D）LLMNRポイズニングの実行

正解：B 解答を投票する

質問 6

侵入テスト担当者がフィッシング詐欺キャンペーンを設計していて、ユーザーのリスト（またはターゲット組織）を作成したいと考えています。最も適切なテクニックはどれですか？（Select TWO）

（A）インターネットのWHOISデータベースを照会します。

（B）ソーシャルネットワーキングサイトからユーザーを収集します。

（C）投稿された求人情報を検索します。

（D）コーポレートコールセンターを社会的に設計します。

（E）会社のWebサイトをこすります。

正解：B、E 解答を投票する

質問 7

侵入テスト担当者がコードレビューを実行しています。次のテスト手法のどれが実行されていますか？

（A）動解析

（B）ファジング分析

（C）実行時分析

（D）静的解析

正解：D 解答を投票する

質問 8

クライアントへの侵入テストの販売価格を計算するとき、理解するのに最も重要な側面は次のうちどれですか？

（A）クライアントの予算

（B）運用コスト

（C）秘密保持契約

（D）必要な作業範囲

正解：D 解答を投票する

質問 9

侵入テスト担当者がSSHでネットワークをスキャンしており、提供されているターゲットのリストを持っています。次のNmapコマンドのどれをテスト担当者が使用すべきですか？

（A）nmap -p 22 -sL targets

（B）nmap -p 22 -oA targets

（C）nmap -p 22 -iL targets

（D）nmap -p 22 -oG targets

正解：C 解答を投票する

質問 10

テスターは、ドメインコントローラでnullセッションが有効になっていると判断しました。次の攻撃のうちどれがこの脆弱性を悪用するために実行される可能性がありますか？

（A）ユーザーとグループを列挙するためのRID循環

（B）ホストへのログインを強制するパスワードの総当たり

（C）リレー資格情報にハッシュを渡します

（D）システムアカウントを偽装するためのセッションハイジャック

正解：D 解答を投票する

質問 11

ペネトレーションテスターは、特定のターゲットの内部ホストへのアクセスを取得しました。 Windows OSのよく知られたアーキテクチャの欠陥を悪用して、マシンのユーザーのパスワードを取得するための最良のツールは次のうちどれですか？

（A）ハッシュキャット

（B）ジョン・ザ・リッパー

（C）RainCrack

（D）ミミカッツ

正解：D 解答を投票する

質問 12

ペネトレーションテスタがワイヤレススニファからの次の出力を確認しています。

次のうちどれが上記の情報から推定することができますか？

（A）ハードウェアベンダ

（B）ユーザー名

（C）チャネル干渉

（D）キーの強さ

正解：B 解答を投票する

質問 13

次のうち、IoTデバイスに関連する脆弱性を悪用するのはどれですか？

（A）Miraiボットネット

（B）ハートブリード

（C）簡単な証明書の登録

（D）青い唸り

正解：A 解答を投票する

質問 14

攻撃者は、SETを使用して会社のクラウドでホストされているWebメールポータルのコピーを作成し、CEOのログイン資格情報を取得するためにEメールを送信します。

（A）誘発攻撃

（B）ドライブバイダウンロード攻撃

（C）スピアフィッシング攻撃

（D）なりすまし攻撃

正解：A 解答を投票する

質問 15

ある企業が、Webアプリケーションのペネトレーションテストを実行するためにコンサルタントを雇うための予算を計画し、確保しました。脆弱性が発見されると、同社はコンサルタントに次の作業を依頼しました。
* コードレビュー
* ファイアウォール設定の更新

（A）脅威防止

（B）スコープクリープ

（C）死後レビュー

（D）リスク許容度

正解：A 解答を投票する

質問 16

次のスクリプトがあるとします。

次のBESTのどれがこのスクリプトの目的を説明していますか？

（A）Keystroke monitoring

（B）Event collection

（C）Debug message collection

（D）Log collection

正解：A 解答を投票する

質問 17

クライアントがワイヤレス侵入テストをスケジュールしました。次のうちどれがテストを開始することができる前に最も必要とされる可能性があるスコープターゲット情報を説明しますか？

（A）クライアントのデバイスによって使用されている帯域と周波数

（B）クライアントの優先ワイヤレスアクセスポイントの製造元

（C）テストする物理的な場所とネットワークのESSID

（D）クライアントが所有しているワイヤレスデバイスの数

正解：A 解答を投票する

質問 18

警備員は、バッジをスキャンした後、建物に入る個人を監視します。この施設には、回転式改札口を備えた厳格なバッジインおよびバッジアウトの要件があります。次に、警備員はバッジシステムを監査し、次のバッジの2つのログエントリを見つけます。

（A）バッジのクローンが作成されました。

（B）システムはクロスオーバーエラー率に達しました。

（C）物理アクセス制御サーバーが誤動作しています。

（D）従業員がバッジを紛失しました。

正解：A 解答を投票する

質問 19

ペネトレーションテスターは、リピートクライアントに対して毎年セキュリティ評価を実行しています。テスターは、以前の侵害の指標を見つけます。次の手順に従うのに最も論理的な手順は次のうちどれですか。

（A）インシデントをテスターの直属の上司に報告し、すぐにクライアントにフォローアップします

（B）インシデントをクライアントの最高情報セキュリティ責任者（CISO）に直ちに報告し、それに応じて契約条件を変更します

（C）異常をメモし、侵入テストを続行して、最終レポートで詳しく説明します

（D）インシデントをクライアントの法務部門に報告してから、クライアントのセキュリティ運用チームにフォローアップします

正解：A 解答を投票する

PT0-001日本語無料問題集「CompTIA PenTest+ Certification Exam (PT0-001日本語版)」

弊社を連絡する

関連リンク

トップ試験

PT0-001日本語 無料問題集「CompTIA PenTest+ Certification Exam (PT0-001日本語版)」

弊社を連絡する

関連リンク

トップ試験

PT0-001日本語無料問題集「CompTIA PenTest+ Certification Exam (PT0-001日本語版)」