HOME
CompTIA PenTest+ (侵入テスト)

「CompTIA PenTest+ (侵入テスト)」の記事一覧

DNS情報の収集において、ターゲットドメインの全ホスト情報を一括で取得しようとする試みはどれか。

ゾーン転送は、本来DNSサーバー間で同期するための機能だが、不適切な設定により攻撃者に情報を漏らす原因…

2026年3月7日

Webアプリケーションのログインフォームにおいて、存在しないユーザー名を入力した際と、正しいユーザー名でパスワードを間違えた際で「エラーメッセージが異なる」場合に判明する情報はどれか。

メッセージの違いを利用して、そのシステムに実在するユーザーアカウントのリストを作成できてしまう。

2026年3月7日

ホワイトボックステストを実施する際、ソースコードを解析する目的として最も適切なものはどれか。

内部のロジックを理解することで、より深く、網羅的なセキュリティ評価が可能になる。

2026年3月7日

Webアプリケーションの脆弱性診断ツール「Nikto」の主な役割はどれか。

NiktoはWebサーバー固有の構成不備や既知の脆弱なファイルを迅速に特定するツールである。

2026年3月7日

パスワードを総当たりする際、最も頻繁に使われるパスワード（例：123456）を多くのユーザーに対して一度ずつ試す手法はどれか。

Password Sprayingは、アカウントロックを回避しながら効率的に脆弱なアカウントを探す手法である。

2026年3月7日

最終報告書の「エグゼクティブサマリー」に記載すべきではない情報はどれか。

生のログデータは技術的な詳細セクションや付録に記載し、サマリーは簡潔な要約に留めるべきである。

2026年3月7日

サーバーに負荷をかけすぎないように、同時接続数やパケット送信頻度を制限して行うスキャンを何と呼ぶか。

Throttling（スロットリング）は、システムの安定性を損なわないためにリソースの使用量を調整する行為で…

2026年3月7日

プロジェクト完了後の「データのクリーンアップ」プロセスに含まれるべき活動はどれか。

テスト中に作成したアカウントやバックドアなどは、すべて削除して環境を元の状態に戻す義務がある。

2026年3月7日

SNSから収集した情報を基に「あなたの同僚の〇〇さんから頼まれた」と嘘をついてパスワードを聞き出す行為はどれか。

Pretexting（プリテキスティング）は、嘘の状況を作り出して相手の信頼を勝ち取る社会的工学の手法である。

2026年3月7日

モバイルアプリのテストにおいて、デバイスとサーバー間のHTTPS通信を傍受するためにテスターが最初に行うべきことはどれか。

証明書をインストールすることで、HTTPS通信を復号して内容を解析（中間者攻撃のシミュレート）できるよう…

2026年3月7日