312-50v13 試験問題 336
プロのハッカーであるクラークは、ある組織に雇われ、競合他社に関する機密情報を密かに収集する任務を負った。クラークは、ホールフットプリンティングを用いて、対象組織のサーバーIPアドレスを収集した。さらに、そのサーバーIPアドレスをオンラインツールに入力し、対象組織のネットワーク範囲などの情報を取得したり、ネットワークトポロジーやネットワークで使用されているオペレーティングシステムを特定したりした。上記のシナリオでクラークが使用したオンラインツールとは何か?
312-50v13 試験問題 337
ネットワークチームは、ファイアウォールに新しいルールを作成するための確立された手順を持っています。これには、新しいルールを実装する前にマネージャーの承認を得ることが含まれます。ファイアウォールの設定を確認している際に、最近実装されたルールに気づきましたが、そのルールに対するマネージャーの承認が見つかりません。このような状況に備えて、手順にどのようなステップを追加すべきでしょうか?
312-50v13 試験問題 338
マイアミにあるサンシャイン・メディアのストリーミングプラットフォームで行われた侵入テストにおいて、倫理的ハッカーのソフィア・アルバレスは、同社のウェブサーバーが不適切な設定によって機密情報を漏洩させていないか調査した。その結果、サーバーのルートディレクトリにあるクローラーディレクティブによって、制限された領域が意図せずインデックス化されてしまうことが判明した。この見落としにより、隠されたリンク、機密ファイル、その他の機密情報が漏洩する可能性のある内部パスが明らかになった。
ソフィアはこの評価において、どの手法を最も用いている可能性が高いでしょうか?
ソフィアはこの評価において、どの手法を最も用いている可能性が高いでしょうか?
312-50v13 試験問題 339
ノースカロライナ州ローリーでは、倫理的ハッカーのイーサン・ブルックスが、急成長中の金融スタートアップ企業であるトライアングル・フィンテックの侵入テストを実施している。ブルックスは、このテストで同社のネットワークセキュリティを回避し、制限された内部サーバーへのアクセスを試みている。彼は、自身のトラフィックを正当なものに見せかけるためにネットワークパケットを細工し、ファイアウォールのチェックを回避するために、一部のTCPヘッダー情報を後続のパケットに強制的に挿入する。彼の目的は、攻撃者がどのようにしてセキュリティ境界をすり抜けて検知されずに侵入できるかを実証し、ITチームに潜在的な脆弱性を警告することにある。
イーサンは侵入テスト中に、トライアングル・フィンテックのファイアウォールを回避するためにどのような手法を用いているのか?
イーサンは侵入テスト中に、トライアングル・フィンテックのファイアウォールを回避するためにどのような手法を用いているのか?
312-50v13 試験問題 340
ワシントン州シアトルにあるデジタルメディア企業は、社内分析ダッシュボードとコンテンツ公開ポータルをサポートするために、Nginxベースのインフラストラクチャを導入しています。承認されたレッドチーム演習中に、テスターは構成バンドルのアップロードとアプリケーションコンポーネントの管理に使用されるWebベースの管理インターフェースを評価しました。ファイルアップロード機能を分析している際に、テスターは、アップロードされたコンテンツとともに送信された特定のユーザー提供パラメータが、検証が不十分なままバックエンド処理ルーチンに組み込まれていることに気づきました。リクエスト内の特定の値を調整することで、サーバー側のコンポーネントがこれらの入力を解釈する方法を変更しました。その後のログ分析により、直接シェルアクセスは取得されていないにもかかわらず、変更された入力がWebサービスコンテキストで実行されるシステムレベルの操作に影響を与えたことが明らかになりました。このシナリオで特定された脆弱性を最もよく表すNginx関連の脆弱性はどれですか?
