HOME
CompTIA PenTest+ (侵入テスト)

「CompTIA PenTest+ (侵入テスト)」の記事一覧

テスト終了後にクライアントと対面し、結果や推奨事項を直接説明する機会を何と呼ぶか。

Technical Debrief（報告会）は、発見された脆弱性の技術的な詳細と対策を直接共有する場である。

2026年3月7日

パスワードそのものではなく、ハッシュ化された値をそのまま使用して認証を通過する攻撃はどれか。

Pass-the-Hash（PtH）はNTLMハッシュなどを利用して、パスワードを解読せずになりすます手法である。

2026年3月7日

OSやアプリケーションのパッチ適用状況を最も正確に把握できるスキャン手法はどれか。

Credentialed Scan（認証スキャン）は内部のレジストリや設定ファイルを直接確認するため精度が高い。

2026年3月7日

デジタル写真やドキュメントに埋め込まれた撮影日時や位置情報を抽出するツールはどれか。

Exiftoolはファイル内のメタデータを読み取り、書き込み、操作するためのツールである。

2026年3月7日

サードパーティのSaaSを利用している場合、テストの許可を得るべき相手は誰か。

自社の所有物ではない資産をテストする場合、その資産の所有者（プロバイダー）の同意が必須である。

2026年3月7日

コンパイル済みの実行ファイルから元のソースコードに近い形を復元するツールを何と呼ぶか。

Decompiler（デコンパイラ）は逆コンパイルを行い、プログラムのロジックを解析しやすくする。

2026年3月7日

報告書に個人情報やパスワードが含まれる場合、それらを隠蔽するために行う処理はどれか。

Masking（マスキング）は「****」などで情報を伏せ、機密性が高いデータが露出するのを防ぐ。

2026年3月7日

コンテナ環境において、イメージ内に含まれる既知の脆弱なライブラリを検出する作業はどれか。

Static Image Scanningはコンテナイメージを構築段階でスキャンし、脆弱なコンポーネントを特定する。

2026年3月7日

ブラウザ内のJavaScriptがDOMを不適切に操作することで発生するXSSのタイプはどれか。

DOM-based XSSはサーバー側ではなく、クライアント側のスクリプト実行過程で発生する。

2026年3月7日

特定のポートに接続し、サーバーが最初に返すテキストメッセージを取得するために使用されるシンプルなツールはどれか。

Netcatは「ネットワークの十徳ナイフ」と呼ばれ、バナーグラビングや簡易サーバーの作成に使用される。

2026年3月7日