※実際に出題される問題とは異なります。
※類似問題を許可なく複製、転載することは一切禁止します。
| Question 1 外部脆弱性スキャンを実施している際、ペネトレーションテスターは、telnet、ftp、httpが顧客サイトのストレージサーバー上で外部に開放状態になっていることに気が付きました。この情報は、ペネトレーションテストが完了した後に顧客に通知されました。この脆弱性に対する最適な緩和策は、次のうちどれですか。 A. 顧客は2要素認証を有効にする必要がある B. 顧客はhttpからTLSに対応する必要がある C. 顧客はサービスを非標準ポートに移動する必要がある D. 顧客は不要なサービスやポートを閉じるためシステムハードニングガイドを使用する必要がある |
 |
| Question 2 ペネトレーションテスターは、Windowsデバイスで、相対ID(RID)500のユーザー名を見つけました。このユーザーが有する特権レベルは、次のうちどれですか。 A. Administrator B. User C. Guest D. Power user |
|
| Question 3 ペネトレーションテスターは、外部脆弱性スキャンの結果に信頼性がないことに気付きました。同じIPアドレスは、スキャンされるたびに異なる脆弱性を示しています。この症状を引き起こしている可能性として最も高いのは、次のうちどれですか。 A. スキャンされているアドレスは、背後の複数システムと連携するロードバランサーである B. 脆弱性スキャナは、フォールスポジティブを報告している C. 顧客はアップデートの際、パッチを適用しロールバックしている D. 脆弱性スキャナが正しく設定されていない |
|
| Question 4 Webアプリケーションは、ユーザー入力をデータベースクエリに直接連結するようコーディングされています。 http://example.com?page=news&ID=14 この状況に当てはまる脆弱性は、次のうちどれですか。 A. XMLインジェクション B. 安全でないオブジェクトへの直接参照 C. 安全でないクロスオリジンリソース共有 D. SQLインジェクション |
|
| Question 5 静的コードアナライザーからの出力は、多数のNullポインターの問題を示しています。この問題の原因として最も可能性が高いのは、次のうちどれですか。 A. 名前付きパイプの不適切な使用 B. ファイルシステム統合が不十分 C. 変数初期化の欠如 D. 不良ソケットプログラミング |
|
| Question 6 ペネトレーションテスターは、標的システムからローカル管理者アカウントを削除し、各種攻撃ツールからクレデンシャルを消去し、レポート作成に使用したノートPCからドキュメント類のコピーを削除します。ペネトレーションテスターが実行しているのは、次のうちどれですか。 A. 調査結果の証明 B. 契約後のクリーンアップ C. 詐欺のテクニック D. 修復のステップ |
|
| Question 7 標的ネットワーク上で認証中にHTTPが使用されています。ペネトレーションテスターが、ユーザーのクレデンシャルを取得する上で役立つ受動的調査テクニックは、次のうちどれですか。 A. トラフィックスロットリング B. トラフィックスニッフィング C. トラフィックシェーピング D. トラフィックブロッキング |
|
| Question 8 コンプライアンスに基づくアセスメントを検討する際、考慮しなければならない事項は、次のうちどれですか。 A. 使用されているプロトコル B. ステルス C. 帯域幅の制限 D. 地方自治体および国内の規制 |
 |
