HOME
CompTIA PenTest+ (侵入テスト)

「CompTIA PenTest+ (侵入テスト)」の記事一覧

SOAPベースのWebサービスにおいて、XML外部エンティティ（XXE）攻撃をテストするために操作する部分はどれか。

XXE攻撃はXML解析の不備を突き、DOCTYPE宣言内の外部エンティティ定義を悪用する。

2026年3月7日

SSHサービスが稼働しているサーバーに接続した際、最初に表示されるバナーから特定できない情報はどれか。

バナー情報は通常、バージョンやOS情報を提供するが、動的なユーザー数などは含まれない。

2026年3月7日

テスト開始前にクライアントから提供されたターゲットリストに、自社管轄外のIPが含まれていた場合の適切な対応はどれか。

スコープの誤りは法的問題に直結するため、必ずクライアントの確認と正式な合意を得る必要がある。

2026年3月7日

発見された脆弱性が「ビジネス継続性に与えるリスク」を評価する際に、最も考慮すべき指標はどれか。

ビジネスリスクは、その脆弱性が悪用された際の経済的・機能的損失に基づいて評価される。

2026年3月7日

Bashスクリプトで、特定のIP範囲（192.168.1.1-10）に対して順番に処理を行うためのループ構造はどれか。

Bashのforループとブレース展開を用いることで、数値の範囲を効率的に処理できる。

2026年3月7日

攻撃者がWebアプリケーションに悪意のあるファイルをアップロードし、リモートで実行させる攻撃はどれか。

RFIは外部サーバー上のスクリプトをターゲット上で実行させる深刻な脆弱性である。

2026年3月7日

脆弱性スキャンのポリシーにおいて、既知の脆弱性チェックをスキップする条件はどれか。

システムの可用性を保護するため、非常にデリケートなアセットは除外リストに設定される。

2026年3月7日

IPアドレスの範囲を指定して、ホスト名を逆引きで特定するために使用されるNmapオプションはどれか。

-Rオプションは、ターゲットIPアドレスに対して常にリバースDNS解決を試みる。

2026年3月7日

クラウドプロバイダーへの通知なしに許可される可能性が最も高いテスト活動はどれか。

多くのクラウドプロバイダーは、自社が占有するリソースへのスキャンを許可している。

2026年3月7日

ドメインの過去の登録情報や、今は削除された旧バージョンのWebサイトの内容を確認できるサービスはどれか。

Wayback MachineはWebサイトの歴史的なアーカイブを保存しており、過去に露出していた情報を探せる。

2026年3月7日