امتحان شهادة CompTIA PenTest+ (PT0-002): نظرة عامة على المجالات

امتحان شهادة CompTIA PenTest+ (PT0-002): نظرة عامة على المجالات         عندما يتعلق الأمر بمسار الأمن السيبراني في CompTIA، فإن PenTest+ هي واحدة من شهادات اختبار الاختراق المتقدمة.

تم تصميم دورة امتحان PenTest+ لاختبار معرفة المرشح بالعملية والأدوات والتقنيات المطلوبة لاختبار الاختراق.

CompTIA بالمرشحين الذين لديهم 3-4 سنوات من الخبرة العملية في الاختراق وتقييم الثغرات وتحليل التعليمات البرمجية.     

ما هو امتحان CompTIA PenTest+ (PT0-002)؟  

CompTIA PenTest+ هي شهادة اختبار اختراق للمبتدئين مصممة لمحترفي الأمن السيبراني المسؤولين عن اختبار الاختراق وتقييم الثغرات وإدارتها.  

CompTIA PenTest+ هي إحدى شهادات اختبار اختراق الأمن السيبراني الممتازة، والتي تركز على المهارات الهجومية من خلال اختبار الاختراق وتقييم نقاط الضعف.  

سيتمتع متخصص الأمن السيبراني المعتمد الناجح في CompTIA PenTest+ بالمعرفة والمهارات التالية:

• التخطيط ونطاق المشاركة في اختبار الاختراق
• فهم المتطلبات القانونية والامتثالية
• إجراء مسح الثغرات واختبار الاختراق باستخدام الأدوات والتقنيات المناسبة، ثم تحليل النتائج
• إعداد تقرير مكتوب يحتوي على تقنيات الإصلاح المقترحة، والتواصل بفعالية مع فريق الإدارة بالنتائج، وتقديم توصيات عملية

تفاصيل اختبار CompTIA PenTest+ (PT0-002)

عدد الأسئلة - بحد أقصى 85

أنواع الأسئلة - اختيار من متعدد ومبني على الأداء

مدة الاختبار - 165 دقيقة

الخبرة الموصى بها - 3-4 سنوات من الخبرة العملية في إجراء اختبارات الاختراق وتقييم الثغرات وتحليل التعليمات البرمجية

درجة النجاح - 750 (على مقياس من 100 إلى 900)

نظرة عامة على مجال PenTest+ (PT0-002)

اختبار PenTest+ هو مدة الاختبار 165 دقيقة. وفي الوقت المحدد، سيكون عليك الإجابة على 85 سؤالاً كحد أقصى من أسئلة الاختيار من متعدد والأسئلة القائمة على الأداء.

درجة النجاح هي 750 (على مقياس من 100 إلى 900).

تنقسم دورة شهادة الأمن السيبراني CompTIA PenTest+ إلى المجالات أو المواضيع الخمسة التالية.

1.0 التخطيط وتحديد النطاق - 14% 2.0 جمع المعلومات وفحص الثغرات الأمنية - 22% 3.0 الهجمات والاستغلالات 30% 4.0 إعداد التقارير والاتصال - 18% 5.0 الأدوات وتحليل التعليمات البرمجية - 16%

المجال 1 - التخطيط وتحديد النطاق

يغطي المجال الأول في اختبار PenTest+ التخطيط وتحديد نطاق المشاركة في اختبار الاختراق. إذا تحدثنا عن الدرجة الإجمالية في الاختبار، فإن مجال التخطيط وتحديد النطاق نفسه يشكل 14% من درجة المرشح.

علاوة على ذلك، يتم تقسيم المجال الأول إلى ثلاثة أقسام على النحو التالي:    1.1 مقارنة وتباين مفاهيم الحوكمة والمخاطر والامتثال.

• اعتبارات الامتثال التنظيمي • قيود الموقع • المفاهيم القانونية • الإذن بالهجوم

1.2 شرح أهمية تحديد النطاق ومتطلبات المنظمة/العميل.

• المعايير والمنهجيات • قواعد المشاركة • الاعتبارات البيئية • قائمة الأهداف/الأصول في النطاق • التحقق من نطاق المشاركة

1.3 في سيناريو معين، أظهر عقلية القرصنة الأخلاقية من خلال الحفاظ على الاحتراف والنزاهة.

• التحقق من خلفية فريق اختبار الاختراق • الالتزام بنطاق المشاركة المحدد • تحديد النشاط الإجرامي • الإبلاغ فورًا عن الخروقات/النشاط الإجرامي • الحد من استخدام الأدوات لمشاركة معينة • الحد من التطفل بناءً على النطاق • الحفاظ على سرية البيانات/المعلومات • المخاطر التي يتعرض لها المحترفون

المجال 2 - جمع المعلومات ومسح الثغرات الأمنية

يضيف الاستطلاع تتمتع هذه التقنية بقيمة كبيرة في عملية اختبار الاختراق، حيث توفر معلومات استخباراتية قيمة لتقييم نقاط الضعف الأمنية وتصميم خطة للهجوم. تشكل عملية جمع المعلومات ومسح الثغرات الأمنية 22% من الأسئلة في امتحان شهادة PenTest+، والذي ينقسم إلى ثلاثة أجزاء رئيسية:

2.1 في حالة وجود سيناريو، قم بإجراء استطلاع سلبي.

• عمليات البحث في DNS • تحديد جهات الاتصال الفنية • جهات اتصال المسؤول • السحابة مقابل الاستضافة الذاتية • كشط وسائل التواصل الاجتماعي • العيوب التشفيرية • سمعة الشركة/وضعها الأمني • البيانات • الاستخبارات مفتوحة المصدر (OSINT)

2.2 في حالة وجود سيناريو، قم بإجراء استطلاع نشط.

• التعداد • استطلاع موقع الويب • صياغة الحزم • اكتشاف الدفاع • القيادة الحربية • حركة مرور الشبكة • الرموز • اكتشاف الأصول السحابية • الخدمات المستضافة من قبل جهات خارجية • تجنب الاكتشاف

2.3 في حالة وجود سيناريو، قم بتحليل نتائج تمرين الاستطلاع.

• بصمة الإصبع • تحليل الناتج من

2.4 في حالة وجود سيناريو، قم بإجراء فحص للثغرات الأمنية.

• اعتبارات فحص الثغرات الأمنية • Nmap • فحص الأهداف المحددة بحثًا عن الثغرات الأمنية • ضبط إعدادات الفحص لتجنب الكشف • طرق الفحص • أدوات اختبار الثغرات الأمنية التي تسهل التشغيل الآلي

المجال 3 — الهجمات والاستغلالات

الهجمات والاستغلالات، وهو المجال الثالث، تضيف القيمة الأكبر في اختبار شهادة PenTest+، حيث تمثل 30% من الأسئلة في الاختبار. المواضيع المدرجة في هذا المجال بعيدة المدى وتغطي الهجمات المحتملة ضد أي نظام قد يواجهها محترفو الاختراق في رحلتهم الاختراقية. ينقسم مجال الهجمات والاستغلال إلى سبعة أقسام: 

3.1 في حالة وجود سيناريو، ابحث عن متجهات الهجوم وقم بهجمات الشبكة.

• اختبار الإجهاد للتوافر • استغلال الموارد • الهجمات • الأدوات

3.2 في حالة وجود سيناريو، ابحث عن متجهات الهجوم وقم بهجمات لاسلكية.

• أساليب الهجوم • الأدوات • الهجمات

3.3 في حالة وجود سيناريو، ابحث عن متجهات الهجوم وقم بهجمات قائمة على التطبيقات.

• أفضل 10 أخطاء وفقًا لـ OWASP • تزوير الطلبات من جانب الخادم • عيوب منطق الأعمال • هجمات الحقن • ثغرات التطبيقات • ثغرات التطبيقات • عبور الدليل • الأدوات • الموارد

  3.4 في حالة وجود سيناريو، ابحث عن متجهات الهجوم وقم بهجمات على تقنيات السحابة.

• الهجمات • الأدوات

3.5 اشرح الهجمات والثغرات الشائعة ضد الأنظمة المتخصصة.

• الأجهزة المحمولة • إنترنت الأشياء (IoT) الأجهزة • نقاط ضعف نظام تخزين البيانات • نقاط ضعف واجهة الإدارة • نقاط ضعف متعلقة بالتحكم الإشرافي واكتساب البيانات (SCADA)/ إنترنت الأشياء الصناعية (IIoT)/ نظام التحكم الصناعي (ICS) • نقاط ضعف متعلقة بالبيئات الافتراضية • نقاط ضعف متعلقة بأحمال العمل المحملة في حاويات

3.6 في حالة وجود سيناريو، قم بإجراء هندسة اجتماعية أو هجوم مادي.

• ذريعة للنهج • هجمات الهندسة الاجتماعية • الهجمات المادية • انتحال الهوية • الأدوات • طرق التأثير

3.7 في حالة وجود سيناريو، قم بإجراء تقنيات ما بعد الاستغلال.

• أدوات ما بعد الاستغلال • الحركة الجانبية • اختبار تقسيم الشبكة • تصعيد الامتيازات • إنشاء موطئ قدم/استمرار • ترقية غلاف مقيد • تجنب الاكتشاف • التعداد

المجال 4 — إعداد التقارير و التواصل

يعد الإبلاغ والتواصل أحد الأجزاء الأساسية لعملية اختبار الاختراق. يعد الإبلاغ والتواصل، المجال الرابع من امتحان شهادة PenTest+، مسؤولاً عن 18% من درجة PenTest+. ينقسم القسم إلى أربعة أقسام: 

4.1 مقارنة وتباين المكونات المهمة للتقارير المكتوبة.

• جمهور التقرير • محتويات التقرير (** ليس بترتيب معين) • وقت تخزين التقرير • التوزيع الآمن • تدوين الملاحظات • الموضوعات/الأسباب الجذرية المشتركة

4.2 في حالة وجود سيناريو، قم بتحليل النتائج والتوصية بالإصلاح المناسب داخل التقرير.

• الضوابط الفنية • الضوابط الإدارية • الضوابط التشغيلية • الضوابط المادية

4.3 شرح أهمية الاتصال أثناء عملية اختبار الاختراق.

• مسار الاتصال • محفزات الاتصال • أسباب الاتصال • إعادة تحديد أولويات الهدف • عرض النتائج

4.4 شرح أنشطة ما بعد تسليم التقرير.

• التنظيف بعد المشاركة • قبول العميل • الدروس المستفادة • إجراءات المتابعة/إعادة الاختبار • إثبات النتائج • عملية إتلاف البيانات

المجال 5 — أدوات وتحليل التعليمات البرمجية

للتنفيذ إن عملية اختبار الاختراق، وإتقان كتابة وقراءة التعليمات البرمجية أمر ضروري لتحديد نقاط الضعف وتطوير الأدوات. إن تحليل الأدوات والتعليمات البرمجية، المجال الخامس من امتحان شهادة PenTest+، مسؤول عن 16% من أسئلة الامتحان. يحتوي المجال على ثلاثة أقسام مذكورة أدناه: 

  5.1 شرح المفاهيم الأساسية للبرمجة النصية وتطوير البرمجيات.

• البنى المنطقية • هياكل البيانات • المكتبات • الفئات • الإجراءات • الوظائف

5.2 في حالة وجود سيناريو، قم بتحليل نص برمجي أو عينة من التعليمات البرمجية لاستخدامها في اختبار الاختراق.

• الأصداف • لغات البرمجة • تحليل التعليمات البرمجية الاستغلالية • فرص الأتمتة

5.3 شرح حالات استخدام الأدوات التالية أثناء مراحل اختبار الاختراق.

• الماسحات الضوئية • أدوات اختبار بيانات الاعتماد • OSINT • أدوات تصحيح الأخطاء • اللاسلكي • أدوات تطبيقات الويب • أدوات الهندسة الاجتماعية • أدوات الوصول عن بُعد • أدوات الشبكات • متفرقات • أدوات التخفي • أدوات السحابة   

هل أنت مستعد للحصول على شهادة CompTIA PenTest+؟

نحن مركز امتحانات بالوكالة معروف، ونقدم عددًا كبيرًا من شهادات تكنولوجيا المعلومات لمحترفي تكنولوجيا المعلومات في جميع أنحاء العالم.

إذا كنت ترغب في اجتياز امتحان شهادة CompTIA PenTest+، فيمكننا مساعدتك في ذلك.  

اتصل بنا لمعرفة المزيد عنا وعن نمط امتحان الوكالة الخاص بنا، وسيتم تعيين أحد مستشارينا لمساعدتك وفقًا لذلك.