- ホーム
- CompTIA
- PT0-002J - CompTIA PenTest+ Certification (PT0-002日本語版)
- CompTIA.PT0-002J.v2024-02-21.q134
- 質問88
有効的なPT0-002J問題集はJPNTest.com提供され、PT0-002J試験に合格することに役に立ちます!JPNTest.comは今最新PT0-002J試験問題集を提供します。JPNTest.com PT0-002J試験問題集はもう更新されました。ここでPT0-002J問題集のテストエンジンを手に入れます。
PT0-002J問題集最新版のアクセス
「460問、30% ディスカウント、特別な割引コード:JPNshiken」
評価中に、ペネトレーション テスターがログを検査し、単一の IP アドレスから同じ URL に送信される一連の数千のリクエストを発見しました。ご要望の一部を以下に挙げます。
攻撃者が悪用しようとしたのは次の脆弱性のうちどれですか?
攻撃者が悪用しようとしたのは次の脆弱性のうちどれですか?
正解:D
The attacker is sequentially changing the serviceID parameter in the URL, likely in an attempt to access objects that they are not authorized to see. This is indicative of an attempt to exploit an Insecure Direct Object Reference (IDOR) vulnerability, where unauthorized access to objects can occur by manipulating input or changing parameters in the URL.
An insecure direct object reference (IDOR) vulnerability occurs when an application exposes a reference to an internal object, such as a file, directory, database record, or key, without any proper authorization or validation mechanism. This allows an attacker to manipulate the reference and access other objects that they are not authorized to access. In this case, the attacker was trying to exploit the IDOR vulnerability in the servicestatus.php script, which accepts a serviceID parameter that directly references a service object. By changing the value of the serviceID parameter, the attacker could access different services that they were not supposed to see. References: The Official CompTIA PenTest+ Student Guide (Exam PT0-002) eBook, Chapter 4, Section 4.2.2: Insecure Direct Object References; Best PenTest+ certification study resources and training materials, Section 1: Cross-site Scripting (XSS) Attack.
An insecure direct object reference (IDOR) vulnerability occurs when an application exposes a reference to an internal object, such as a file, directory, database record, or key, without any proper authorization or validation mechanism. This allows an attacker to manipulate the reference and access other objects that they are not authorized to access. In this case, the attacker was trying to exploit the IDOR vulnerability in the servicestatus.php script, which accepts a serviceID parameter that directly references a service object. By changing the value of the serviceID parameter, the attacker could access different services that they were not supposed to see. References: The Official CompTIA PenTest+ Student Guide (Exam PT0-002) eBook, Chapter 4, Section 4.2.2: Insecure Direct Object References; Best PenTest+ certification study resources and training materials, Section 1: Cross-site Scripting (XSS) Attack.
- 質問一覧「134問」
- 質問1 次の文書のうち、侵入テスターの特定の活動、成果物、およびスケ
- 質問2 侵入テスターは、営業時間外にクライアントの建物に侵入しようと
- 質問3 範囲ドキュメントに含めるべきものは次のうちどれですか?
- 質問4 評価を行っているペネトレーション テスターは、管理者が企業の
- 質問5 あなたは、サーバー上でポート スキャンを実行しているペネトレ
- 質問6 システム管理者と技術スタッフが閲覧できる侵入テストレポートの
- 質問7 ペネトレーション テスターがコード リポジトリを発見し、パスワ...
- 質問8 ある会社は、クラウド サービス プロバイダーから脆弱性スキャン...
- 質問9 侵入テスターは評価を完了し、テスト中に作成されたすべてのアー
- 質問10 企業に対する内部侵入テスト中に、侵入テスト担当者はネットワー
- 質問11 侵入テスターは、サンドボックス環境でモバイル アプリケーショ
- 質問12 侵入テスターは、SSHD が実行されている Linux サーバーで実行す...
- 質問13 最悪の条件下でテストするには、次の OSSTM テスト方法論のうち...
- 質問14 ion tester は、ターゲット企業からより多くの人々に実行可能フ...
- 質問15 ネットワーク スイッチの Nmap スキャンでは、次のことが明らか...
- 質問16 侵入テスト中に CentOS コンピューターが悪用されました。最初の...
- 質問17 侵入テスターはクライアントのオフィスにあるラップトップでシェ
- 質問18 あなたは、Web ブラウザーを介してクライアントの Web サイトを...
- 質問19 侵入テスターが Web サイトをクロールし、Web サイトのパスワー...
- 質問20 Nmap ネットワーク スキャンにより、サービスが特定された 5 つ...
- 質問21 侵入テスターは、1 つのエンゲージメントで使用される次のスクリ...
- 質問22 ある企業が侵入テスターを雇い、ネットワーク上に不正なアクセス
- 質問23 ペネトレーションテスターは未知の環境テストを実施し、後の評価
- 質問24 評価中、ペネトレーション テスターは、Aircrack-ng を実行して...
- 質問25 侵入テスターは、ターゲット ホストとローカル ネットワーク サ...
- 質問26 会社から要求された評価を行っているペネトレーション テスター
- 質問27 評価中、ペネトレーション テスターは、対象企業の Web サイトを...
- 質問28 最高情報セキュリティ責任者は、最近インストールされたファイア
- 質問29 大規模なクライアントは、インターネットに面しているネットワー
- 質問30 ペネトレーションテスターが、ある場所でテストを行う際に考慮す
- 質問31 侵入テスト ツールへの入力としてスクリプトまたはプログラムに
- 質問32 幹部は出張中に Wi-Fi を使用して会社のサーバーに接続する必要...
- 質問33 次の PowerShell スニペットは、攻撃者のマシンのログから抽出さ...
- 質問34 一般的な IT サーバーと産業用制御システムを含むハイブリッド ...
- 質問35 インターネットに直接接続されている IoT デバイスに関連する最...
- 質問36 侵入テスターは、範囲内にある企業の Web アプリケーション内の...
- 質問37 計画された侵入テスト中に禁止されるアクティビティについて説明
- 質問38 ペネトレーション テスターは、Web サーバーを侵害し、Linux Web...
- 質問39 侵入テスターは、Nmap を使用してホスト 64.13.134.52 をスキャ...
- 質問40 侵入テスターが Web アプリケーションのログ ファイルを分析し、...
- 質問41 侵入テスターがファイル所有者によるシェル スクリプトの実行を
- 質問42 侵入テスターは、パブリック クラウド プロバイダーによってホス...
- 質問43 赤いチームのテスターは、企業のネットワーク上の悪意のあるイン
- 質問44 侵入テスターが企業のネットワーク境界を評価しています。テスト
- 質問45 次の出力があるとします。 ユーザーエージェント:* 許可しない:...
- 質問46 侵入テスト中、テスターは URL の値を example.com/login.php?id...
- 質問47 侵入テスターは、Nmap スキャンから次の結果を受け取ります。 (E...
- 質問48 最近、ペネトレーション テスターがソーシャル エンジニアリング...
- 質問49 侵入テスターは、システムへのアクセスを取得して永続性を確立し
- 質問50 ユーザーがログインした後、侵入テスターがHTTPプロトコルの状態...
- 質問51 以前のシステムへのアクセスを取得した後、ペネトレーション テ
- 質問52 侵入テスターは、ネットワーク デバイス上の SSH デーモンに対し...
- 質問53 次のコードがあるとします。 (Exhibit) 次のデータ構造のうち、...
- 質問54 侵入テスターは、保護されていないネットワーク ファイル リポジ...
- 質問55 ソフトウェア会社のネットワーク上のすべてのサーバーの認証スキ
- 質問56 侵入テスターがサーバーに対してスキャンを実行し、次の出力を取
- 質問57 侵入テストでは、次の場合に競合解消が必要です。
- 質問58 評価中に、ペネトレーション テスターは、以前の侵害を示す可能
- 質問59 侵入テスターは、サーバーから MD5 ハッシュを収集し、レインボ...
- 質問60 ペネトレーション テスターは Web サーバーにアクセスし、システ...
- 質問61 侵入テスト担当者が侵入テストを実施していて、クライアントが所
- 質問62 次の状況のうち、侵入テスターが緊急連絡先に通知する必要がある
- 質問63 次のドキュメントのうち、侵入テストの関与に関連するすべての関
- 質問64 コード レビュー評価中に、ペネトレーション テスターは、Web ア...
- 質問65 ある企業が、企業の SSO ポータルを模倣したサイトへのリンクを...
- 質問66 ある民間調査会社は、攻撃者がモバイル デバイスにアクセスして
- 質問67 クライアントがペネトレーションテストチームとの教訓的なミーテ
- 質問68 物理的評価を行う権限を独占的に与えられていた侵入テスターは、
- 質問69 変数 val を 1 増やす Python の次の式はどれですか (2 つ選択し...
- 質問70 Company.com は、フィッシング テストを実施するためにペネトレ...
- 質問71 最高情報セキュリティ責任者は、ペネトレーション テスターに
- 質問72 侵入テスターは、バッファー オーバーフローの脆弱性について独
- 質問73 侵入テスターが、保護されていない内部ソース コード リポジトリ...
- 質問74 会社の最高経営責任者は、セカンダリ ホーム オフィスを作成しま...
- 質問75 ペネトレーション テスターは、内部の Web サーバーに対してブル...
- 質問76 組織は、安全性の低いプロトコルがワイヤレス ネットワークで使
- 質問77 侵入テスターは、Linux ベースのファイル サーバーへのルート ア...
- 質問78 侵入テスターがサーバーの脆弱性を悪用し、ペイロードをリモート
- 質問79 侵入テスト中にセキュリティ アラームがトリガーされると、企業
- 質問80 次のプロトコルまたはテクノロジーのうち、最終的なセキュリティ
- 質問81 会社のセキュリティ慣行の物理的評価を行っているペネトレーショ
- 質問82 ある企業が侵入テスターを雇って、従業員に対してソーシャル エ
- 質問83 脆弱性スキャン フェーズ中に、ペネトレーション テスターは、次...
- 質問84 ペネトレーション テスターは、未知の Linux 64 ビット実行可能...
- 質問85 エンゲージメントを行っているペネトレーション テスターは、特
- 質問86 侵入テストの取り組みを計画するときは、テストの実行に最適な時
- 質問87 侵入テスト中、テスト担当者は、Bluetooth フレームをブロードキ...
- 質問88 評価中に、ペネトレーション テスターがログを検査し、単一の IP...
- 質問89 侵入テスターが会社のオフィスビルに侵入し、その会社がシュレッ
- 質問90 ペネトレーション テスターは Nmap スキャンを実行しており、接...
- 質問91 ペネトレーションテスターは、攻撃の一環として ARP ポイズニン...
- 質問92 ペネトレーションテスターは最終報告書に次のコメントを書いた:
- 質問93 以前に正常にスキャンされたサーバーを侵入テスターがスキャンで
- 質問94 侵入テスターは最近、企業環境内のコア ネットワーク デバイスの...
- 質問95 セキュリティ会社は、クライアントと侵入テストの結果について話
- 質問96 次のうち、企業のハント チームが最終レポートで最も関心を持っ
- 質問97 評価者は、できるだけ静かに Nmap スキャンを実行したいと考えて...
- 質問98 リモートで作業しているペネトレーション テスターが、ワイヤレ
- 質問99 侵入テスト中に、認証要件のない Web コンポーネントが見つかり...
- 質問100 侵入テスターは、PCI DSS v3.2.1 準拠の金融システムでテストを...
- 質問101 ペネトレーション テスターは企業のパブリック API をテストして...
- 質問102 Web アプリケーションのテスト中に、侵入テスターは https://com...
- 質問103 侵入テストを実行しているテスターは、リモート攻撃に対して重大
- 質問104 次のツールのうち、侵入テスターがワイヤレス ハンドシェイクを
- 質問105 クライアントは、侵入テスト スキャンに次の UDP サービスを含め...
- 質問106 侵入テストの結果を検証するのに最も効果的な人物は次のうちどれ
- 質問107 ソーシャル エンジニアリング攻撃に対するトップ レベルの幹部の...
- 質問108 ペネトレーション テスターが Linux Web サーバーでリバース シ...
- 質問109 ペネトレーション テスターは、最近のテスト中に、経理部門の従
- 質問110 侵入テスターは、攻撃者が物理アクセス制御システムに使用される
- 質問111 あるソフトウェア会社は、会社のソフトウェア開発プラクティスの
- 質問112 侵入テスターが未知の環境テスト中に ping -A コマンドを実行し...
- 質問113 侵入テスト担当者は、クライアントの Web サイトで侵入テストの...
- 質問114 侵入テスト担当者は、侵入テストの最後にトラックをクリーンアッ
- 質問115 ある企業は、すべてのハイパーバイザーに最新の利用可能なパッチ
- 質問116 セキュリティ アナリストは、BLE スマート デバイスに対してオン...
- 質問117 物理的な侵入テスターは、疑わしい行動をしたり、警備員に気付か
- 質問118 侵入テスト中、ドメイン名、IP 範囲、ホスト、およびアプリケー...
- 質問119 コンサルタントは、リモート ホストで開いているすべてのポート
- 質問120 次のうち、攻撃者が使用する一般的な戦術と手法のマトリックスと
- 質問121 侵入テスターがサーバーを侵害し、権限をエスカレートすることが
- 質問122 ペネトレーション テスターは、クライアントとやり取りする前に
- 質問123 侵入テスターは、Google での検索を特定のドメインに制限しよう...
- 質問124 クライアントの関与中に、ペネトレーション テスターは次の Nmap...
- 質問125 ペネトレーション テスターが、明示的な許可なしに、内部クライ
- 質問126 ペネトレーション テスターが検出スキャンを実行した結果、次の
- 質問127 侵入テスターは、クライアントが会社の電子メール システムとし
- 質問128 ソフトウェア会社は、侵入テスト担当者を雇って、データベース
- 質問129 評価が完了し、すべてのレポートと証拠がクライアントに引き渡さ
- 質問130 セキュリティ評価を行っているペネトレーション テスターは、重
- 質問131 ペネトレーション テスターは、dig からの comptia.org の次の D...
- 質問132 侵入テスターは、ステージング サーバーで次のコマンドを実行し
- 質問133 SCADA デバイスのある環境に対して侵入テストを実行すると、次の...
- 質問134 侵入テスターはマシンで unshadow コマンドを実行します。次のツ...
