Web 脆弱性スキャナーで検出される可能性が低い 脆弱性はどれか

セキュリティマネージャーとしての職務の一環として 経営陣に以下のグラフを提出する。彼が提供する 特定の種類は 次のうちどれか

パフォーマンスを監視するために、 ウェブサイトのシミュレーションされた トラフィックを使用する監視タイプは 次のどれか

コードを実行せずに レビューするには、どのような手法が必要か

ネットワーク経由で利用できるサービスを介して アクセス可能な情報に加えて、実行対象システムの構成情報にアクセスする脆弱性スキャンはどれか

アプリケーションコードのレビューをしている。レビューを計画し、 レビューとともに 概要 セッションを実施して役割を割り当てた後 、レビューとともに素材をレビューし、それぞれの役割の準備をする 。次に行動 のレビューと修正を行い、 見つかった全ての欠陥を確実に取り除く。 実施してるのはどのレビューか

NIST SP 800-137の記述に従って。情報セキュリティの継続監視（ISCM)プログラムを構築、実装する一般的なプロセスとして最適なものは

ベネットレーションテストを実行している場合 、これらの結果を受け取った後に彼が実行すべき ステップは次のどれか

海外の組織全体で使用する監査基準の決定作業 手伝っている組織が監査において使用する可能性が低い it 標準はどれか

ポートスキャン中に TCP 及び udp 137 ～139 TCP 445 および TCP 1433 上でサービスを実行しているシステムを発見したマシンに接続すると 見つかる可能性が高い システムは 次のどれか

攻撃者が悪用できる広範な脆弱性がネットワークにあることを 経営陣に納得させたいと考えている。ペネトレーションテストとして現実的な攻撃を行いたい場合、彼女はどのようなペネトレーションテストを実施すべきか

ソフトウェア テスターは、エラー 条件が発生する場合のみ使用される行動を含む全てのコード パスをテストする必要性がある。 コードカバレッジを完全なものにするために、チームは必要な テスト環境をどれか？

RFP の回答として SOC1のレポート 受け取った 。運用の有効性との詳細を含む レポート 入手したい場合、 何をすべきか 理由は何か

無線侵入検知システムなどの無線 セキュリティ技術 を実装する前にパッシブスキャンを追加で実施すべきなのはなぜか

ベンが使用するファジング ツールではデータモデルを開発し、 アプリケーションでのデータの使用に関する情報に基づいて ファジング データを作成することにより 、アプリケーションをテストする。ベンが行っているファジングのタイプは次のどれか

アクティブなワイヤレスキャンに関する潜在的な問題でないのはどれか

ソフトウェアテストがアプリケーションの潜在的なユースケースをどの程度まで網羅してるかを評価する方法として、一般的に使用されるのはどれか

システムが許容してはならない機能に焦点を当てたテストのタイプは 次のどれか

アクセスログのレビュー中にダニエルがニューヨークで毎日8時に ワークテーション ログインしているが、毎日、午前3時過ぎにも 部署のメイン Web アプリケーションに短時間 ログインしていることが記録されているのに気づいた。可能性がある一般的なログインの問題はどれか

組織内の様々なセキュリティ チームから得られる情報を関連付けるのに苦労している 特に一貫性のある形式で オペレーティングシステムを記述する方法を知りたいと思っている彼にとって役立つ SCAPコンポーネントはどれか

NISTは、「攻撃」フェーズの4つのステップを規定している。 これはアクセスの取得 、権限の昇格、システムブラウジング、 追加ツールのインストール である 。攻撃者が追加ツールをインストールした後 、ペネトレーションテスターが通常 戻る フェーズはどれか

セキュリティ 及び プライバシー コントロールの評価について記述されている NIST SP をどれか

ペネトレーションテスターが、ターゲットとするOSを特定できないツールはどれか？

ポートスキャン中に TCP ポート 443 システムが開いてることを発見した 。このポート上で実行する可能性が高い サービスをスキャンするのに適切ツールはどれか

「報告」フェーズで問題が発生しないように、「計画策定」フェーズ中に対処すべき最も重要な懸念事項はどれか？

新しいソフトウェアテストの設計とテストの品質確認に使用する方法は 次のどれか か

NIST SP 800-53 A には評価対象項目の特定に使用可能な4つのタイプの評価 オブジェクトが記載されている。 評価対象に IPS デバイスが含まれる場合、 どのタイプの評価 オブジェクトが評価されるか

「STRIDE」とは「なりすまし (Spoofing)」、「改ざん (Tampering) 」、「否認(Repudiation) 」 、「漏洩 (Information Disclosure) 」 、サービス拒否「DoS (Denial of Service) 」、「権限昇格 (Elevation of Privilege)」を意味する。どの部分で約に立つか

コードレビューの提案依頼書（RFP) を作成する必要性があり、 組織のアプリケーションの背後にあるビジネスロジックをレビューアーに入れて欲しいと 思っている。RDPに指定するべき コード レビュー どれか

ペネトレーションテストの「報告」フェーズで、問題が発生しないように、「計画策定」フェーズ中に対処べき重要な懸念事項はどれか

テスト 対象の Web アプリケーションにデータを送信するスクリプトを作成する。このスクリプトは実行されるたびに、期待される要件に適合するデータを含む 一連のトランザクションを送信して、 典型的な顧客の振る舞いに Web アプリケーションが応答することを検証する。 使用しているトランザクションの種類は 次のどれか、 また このテストの種類はどれか

Web ブラウザによる予期しない データの処理を、自動化ツールを使用してテストしたいと考えている。 どのツールを使用すべきか

複数のサーバーで共有されている対象鍵の使用によって引き起こされるトランザクション 識別の問題をカテゴリー化しようとしている。これに対応 該当する STRIDEカテゴリーはどれか

シンセティックモニタリングとパッシング モニタリングの違いは何か

Web アプリケーションのテスト プログラムにファジンググテストを使用することを検討している。ファジングテストの採用決定する上で考慮すべき事項はどれか

E コマースアプリケーションのコンポーネント間の相互作用が全て適切に処理されていることを確認する必要性がある。 インストラクチャー 全体の通信エラー処理およびセッション管理機能を検証しようとしている、 どのようなテストを実行計画してるか

ペネトレーションテスト中に、IPSはURG、FIN、PSHフラグがセットされたポートスキャンを検出し、警告を発した。どのスキャンか？

データの改ざんを防止または検出しようとしている。次のうち 適切な解決策ではないものどれか

Nikto、Brup Suite,Wapitiはすべてどのようなツールか

悪意あるユーザーのほか、低減策や脅威などの説明を含め 含む、 アプリケーション 脅威モデリングで使用される図はどれか

管理者は、バックアップの成功と失敗のログを毎日レビューし、報告された例外（異常）を解決するためにタイムリーに措置を講じる必要があると指摘された。最大の問題は何か？

脆弱性スキャナーで発見されない 脆弱性 どれか

アプリケーションまたはウェブサイトに対するユーザーの操作を記録して品質とパフォーマンスを保証する パッシブモニタリングの手法はどれか

Web アプリケーションのフォームに記入する 自動化 ツールを使用してフォーマット 文字列 の脆弱性を診断したいと考えている。 使用すべき数字はどれか

ペネトレーションテスト作業にMetasploitを取り入れること 提案している。 このツールを使用することで発生を予期すべきことは次のどれか

不適切な構成 論理上および機能上の欠陥 及び 粗悪なプログラミングの行方が原因となるセキュリティ上の問題は次のうちどれか

ソフトウェアテストプロセスにおいて、通常は テスト 対象とならない インターフェースはどれか

ペネトレーションテストレポートの典型的な一部でないものはどれか

NIST SP800-53Aに従って 評価を設計する場合 、ポリシーと プロシージャー 含まれる 評価要素はどれか

図に示されている各デバイスについてインフラストラクチャー 全体でログを時系列化するにはどの技術を使用すべきか

組織の高リスク領域を予測する必要性がある。 メトリックスを使用してリスクが発生する傾向を評価したいと考えている。 これを取り扱うには何をすべきか

今年の初め 、会社の情報セキュリティ チームは 、管理する Web サーバーの脆弱性を特定した。彼はすぐにパッチを適用し、それが正しくインストールされていることを確認しているにもかかわらず 脆弱性スキャナーは、バージョン番号が原因でシステムが脆弱であるという誤ったフラグを立て続けている。この問題に対処するために選ぶべき最善の選択肢はどれか

ログレビューの時全てのユーザーに固有のユーザー ID で使用するのは何のためか

Windows のシステムをリブートするとき 生成されるログのタイプはどれか

発見 フィール中に使用される可能性が最も高い ツールは次のどれか

ペネトレーションテスト中にシステムを特定する必要性があるが 、”raw　packeet”を生成するための権限を保有していなかった。 公開されているサービスを検証するために実行すべき スキャンはどれか

脆弱性 スキャナーによって特定された 脆弱性を修復するために戦略として妥当でないものはどれか

組織のログ管理システム設計しており、 組織のログ データの取り扱いを慎重に計画する必要があると認識している。懸念すべきでない要素はどれか

脆弱性スキャンを実施し、 機密情報を取り扱うサーバーに重大な脆弱性を発見した次に取るべき プロセスはどれか

計画策定において最も重要なタスクはどれか

コードカバレッジテストの一環として、ロギングツールとトレーシング ツールを使用して 非実稼働環境で分析を行う。運用環境の変化によって、テスト中に見落とされる可能性が高い 行動の問題はどれか

ネットワークの各部間のトラフィック情報をロギング及び レビューしたいと考えている。この分析をするために ルーターで有効にすべきネットワーク ロギングはどれか

ペレ ストレーションテスト中に組織の Bluetooth セキュリティをテストするように依頼された 。雇用主に説明すべき 懸念事項でないものはどれか

システムの脆弱性をスキャンする必要性があり、 リモートシステムを診断するためのオープンソース ツールを使いたいと考えている。 この要件を満たし 脆弱性スキャンが可能なツールはどれか

nmapを使用してポートスキャン中にシステムで次の2つのポートが開いている 発見し、 不安に恐れた。 これらのポートで実行されると思われるサービスは 次のどれか ポート（21）、ポート（23）

MITREのCVEデータベースはどのような情報を提供しているか？

通常、人間が行わない コードレビューはどれか

組織は何年もの間は システムバックアップを実施してきたが、頻繁にバックアップを使用することはなかった。最近のシステム停止時に管理者がバックアップから復元しようとすると、バックアップにエラーがあり 復元できないことがわかった。 次回 組織のバックアップは確実に機能する方法を選択するとき、 避けるべき選択肢はどれか

権限昇格の脅威につながる 認可の問題に対処する必要性がある。 次のコントロールのうち このタイプの問題に最も適しているのはどれか

セキュリティ設定共通化手順（SCAP)を使用して脆弱性管理プログラムを標準化している。各種のセキュリティ評価ツールによって生成される 脆弱性の特定を調整するために使用できるSCAPコンポーネントはどれか

リリースする各パッチに対して回帰 テストを実施している。テストの効果を測定するために彼らは維持するべき 主要な パフォーマンス 特定はどれか

新しいアプリケーションの継続的なテストの一環として、一連のブラックボックス テスト用にテストケースを設計した。これらの機能テストが実行されると、テスト結果を説明するレポートが作成される。 このテスト中にテスト メトリックスを示すために 、通常 どのような レポートが生成されるか

無線ネットワークのペネトレーションテスト中に、パスワードファイルを使ってネットワークに対してAircrack-ng実行する。 このパスワードクラッキング 操作が失敗する原因は 次のどれか

ペネトレーションテストに関する障害でないものは次のどれか

一連のコード テストの妥当性確認を行う際、 一般的に使用される4つの カバレッジ 基準は 次のどれか

ネットワークポートスキャン中に組織のオフィス 全体において TCP ポート80、443、515、9100 上の多数のホストが応答してるの発見する 。発見してる可能性が高い デバイスの種類はどれか

勤務時間中によく知られた アパッチ ウェブサーバーに ゼロディ脆弱性があることが通知された。 情報セキュリティ アナリストとしての、ネットワークをすぐにスキャンして問題に対して 脆弱性 を判別することである。 脆弱な システムを速やかに特定するために行うべき 最良の方法はどれか

データセンターで発見した複数の脆弱性を悪用 可能性 エクスプロイドコードの有無、 修復困難性に基づいて 比較したいと考えている。この これらの脆弱性 メトリックスの比較に使用すべき 評価システムはどれか

チームは開発したソフトウェアのテストプロセスを設計している。設計しているテストでは、テスト中に全てのコード 行が実行されたことを検証する 。どんな分析を行っているか

組織のペネトレーションテスト中に 。IPS は URG、FIN、PSHフラグがセットされたボード スキャンを検出し、警告を発した。ベネデーションテスターが施行しているスキャンはどれか

次のうち 「発見」フェーズの一部でないものはどれか

以下のソフトウェアテストのうち パッチの構成の変更によって取り込まれた 新しいバグを明らかにするものはどれか