Passez n'importe quel examen en ligne maintenant et payez après avoir réussi l'examen. Contacter maintenant
Discute avec nous:
whatsapp
telegram
CompTIA PenTest+

Examen de certification CompTIA PenTest+ (PT0-002) : Présentation des domaines

Jan 10, 20219 mins lireAmit Masih
Examen de certification CompTIA PenTest+ (PT0-002) : Présentation des domaines

Examen de certification CompTIA PenTest+ (PT0-002) : Présentation des domaines

En ce qui concerne la voie de cybersécurité CompTIA, PenTest + est l'une des certifications avancées de test de pénétration.

Le cours d'examen PenTest + est conçu pour tester les connaissances du candidat sur le processus, les outils et les techniques nécessaires aux tests d'intrusion.

CompTIA recommande aux candidats ayant 3 à 4 ans d'expérience pratique dans la pénétration, les évaluations de vulnérabilité et l'analyse de code.

Qu'est-ce que l'examen CompTIA PenTest+ (PT0-002) ?

CompTIA PenTest + est une certification de test d'intrusion d'entrée de gamme conçue pour les professionnels de la cybersécurité responsables des tests d'intrusion et de l'évaluation et de la gestion des vulnérabilités.

CompTIA PenTest + est l'une des excellentes certifications de test de pénétration de la cybersécurité, se concentrant sur les compétences offensives par le biais de tests de pénétration et d'évaluation de la vulnérabilité.

Un professionnel de la cybersécurité certifié CompTIA PenTest + qui réussit aura les connaissances et les compétences suivantes :

  • Planifier et définir une mission de test d'intrusion
  • Comprendre les exigences légales et de conformité
  • Effectuer des analyses de vulnérabilité et des tests de pénétration à l'aide d'outils et de techniques appropriés, puis analyser les résultats
  • Produire un rapport écrit contenant les techniques d'assainissement proposées, communiquer efficacement les résultats à l'équipe de direction et fournir des recommandations pratiques

Détails de l'examen CompTIA PenTest + (PT0-002)

Nombre de questions - Maximum de 85 Types de questions - Choix multiples et basées sur la performance Durée du test - 165 minutes Expérience recommandée - 3 à 4 ans d'expérience pratique dans l'exécution de tests d'intrusion, d'évaluations de vulnérabilité et d'analyse de code Note de passage - 750 (sur une échelle de 100 à 900)

Présentation du domaine PenTest+ (PT0-002)

L'examen PenTest+ dure 165 minutes. Dans le temps imparti, vous devrez répondre à un maximum de 85 questions à choix multiples et basées sur la performance.

La note de passage est de 750 (sur une échelle de 100 à 900).

Le cours de certification de cybersécurité CompTIA PenTest + est divisé en cinq domaines ou sujets suivants.

1.0 Planification et portée - 14 % 2.0 Collecte d'informations et analyse des vulnérabilités - 22 % 3.0 Attaques et Exploits 30% 4.0 Rapports et communication - 18 % 5.0 Outils et analyse de code - 16 %

Domaine 1 — Planification et cadrage

Le premier domaine de l'examen PenTest + couvre la planification et la portée d'un engagement de test d'intrusion. Si nous parlons de la note globale à l'examen, le domaine de la planification et de la portée lui-même représente 14 % de la note du candidat.

De plus, le domaine 1 est divisé en trois sections :

1.1 Comparer et opposer les concepts de gouvernance, de risque et de conformité.

• Considérations relatives à la conformité réglementaire • Restrictions d'emplacement • Notions juridiques • Autorisation d'attaquer

1.2 Expliquez l'importance de la portée et des exigences organisationnelles/des clients.

• Normes et méthodologies • Règles d'engagement • Considérations environnementales • Liste cible/actifs concernés • Valider la portée de l'engagement

1.3 Dans un scénario donné, démontrez un état d'esprit éthique en matière de piratage informatique en maintenant votre professionnalisme et votre intégrité.

• Vérification des antécédents de l'équipe de test d'intrusion • Adhérer à la portée spécifique de l'engagement • Identifier les activités criminelles • Signaler immédiatement les infractions/activités criminelles • Limiter l'utilisation des outils à un engagement particulier • Limiter le caractère invasif en fonction de la portée • Maintenir la confidentialité des données/informations • Risques pour le professionnel

Domaine 2 — Collecte d'informations et analyse des vulnérabilités

La reconnaissance ajoute une valeur significative au processus de test d'intrusion, fournissant des informations précieuses pour évaluer les faiblesses de la sécurité et concevoir un plan d'attaque. La collecte d'informations et l'analyse des vulnérabilités représentent 22 % des questions de l'examen de certification PenTest+, qui est divisé en trois grandes parties :

2.1 Compte tenu d'un scénario, effectuez une reconnaissance passive.

• Recherches DNS • Identifier les contacts techniques • Coordonnées de l'administrateur • Cloud ou auto-hébergé • Récupération des médias sociaux • Failles cryptographiques • Réputation de l'entreprise/posture de sécurité • Données • Intelligence open source (OSINT)

2.2 Compte tenu d'un scénario, effectuez une reconnaissance active.

• Énumération • Reconnaissance du site Web • Fabrication de paquets • Détection de défense • Gardiennage • Trafic réseau • Jetons • Découverte d'actifs cloud • Services hébergés par des tiers • Évitement de la détection

2.3 À partir d'un scénario, analyser les résultats d'un exercice de reconnaissance.

• Empreintes digitales • Analyser la sortie de

2.4 Dans un scénario donné, effectuez une analyse des vulnérabilités.

• Considérations sur l'analyse des vulnérabilités • Nmap • Analysez les cibles identifiées à la recherche de vulnérabilités • Définir les paramètres de numérisation pour éviter la détection • Méthodes de numérisation • Outils de test de vulnérabilité qui facilitent l'automatisation

Domaine 3 — Attaques et exploits

Les attaques et les exploits, qui sont le domaine numéro trois, ajoutent la valeur la plus considérable à l'examen de certification PenTest +, représentant 30% des questions de l'examen. Les sujets inclus dans ce domaine sont vastes et couvrent les attaques potentielles contre tout système que les professionnels de la pénétration pourraient rencontrer au cours de leur parcours de pénétration. Le domaine des attaques et exploits est divisé en sept sections :

3.1 Dans un scénario donné, rechercher des vecteurs d'attaque et effectuer des attaques réseau.

• Tests de résistance pour la disponibilité • Exploiter les ressources • Attaques • Outils

3.2 Dans un scénario donné, recherchez des vecteurs d'attaque et effectuez des attaques sans fil.

• Méthodes d'attaque • Outils • Attaques

3.3 Dans un scénario donné, recherchez les vecteurs d'attaque et effectuez des attaques basées sur les applications.

• Top 10 de l'OWASP • Falsification de requête côté serveur • Failles de la logique métier • Attaques par injection • Vulnérabilités des applications • Vulnérabilités des applications • Traversée de répertoire • Outils • Ressources

3.4 Dans un scénario donné, rechercher des vecteurs d'attaque et effectuer des attaques sur les technologies cloud.

• Attaques • Outils

3.5 Expliquer les attaques et vulnérabilités courantes contre les systèmes spécialisés.

• Mobile • Appareils Internet des objets (IoT) • Vulnérabilités du système de stockage de données • Vulnérabilités de l'interface de gestion • Vulnérabilités liées au contrôle de supervision et à l'acquisition de données (SCADA)/Internet industriel des objets (IIoT)/système de contrôle industriel (ICS) • Vulnérabilités liées aux environnements virtuels • Vulnérabilités liées aux charges de travail conteneurisées

3.6 Compte tenu d'un scénario, effectuez une ingénierie sociale ou une attaque physique.

• Prétexte pour une approche • Attaques d'ingénierie sociale • Attaques physiques • Usurpation d'identité • Outils • Méthodes d'influence

3.7 Compte tenu d'un scénario, effectuer des techniques de post-exploitation.

• Outils de post-exploitation • Mouvement latéral • Test de segmentation du réseau • Élévation des privilèges • Créer un pied/persistance • Mise à niveau d'un shell restrictif • Évitement de la détection • Énumération

Domaine 4 — Rapports et communication

Les rapports et la communication sont l'une des parties essentielles du processus de test d'intrusion. Le rapport et la communication, domaine 4 de l'examen de certification PenTest +, sont responsables de 18% du score PenTest +. La section est divisée en quatre sections :

4.1 Comparer et contraster les éléments importants des rapports écrits.

• Audience du rapport • Contenu du rapport (** pas dans un ordre particulier) • Durée de stockage du rapport • Distribution sécurisée • Prendre des notes • Thèmes communs/causes profondes

4.2 Compte tenu d'un scénario, analysez les résultats et recommandez la correction appropriée dans un rapport.

• Contrôles techniques • Contrôles administratifs • Contrôles opérationnels • Contrôles physiques

4.3 Expliquez l'importance de la communication pendant le processus de test d'intrusion.

• Chemin de communication • Déclencheurs de communication • Raisons de la communication • Redéfinition des objectifs • Présentation des résultats

4.4 Expliquer les activités de livraison post-rapport.

• Nettoyage après l'engagement • Acceptation du client • Leçons apprises • Actions de suivi/retest • Attestation des résultats • Processus de destruction des données

Domaine 5 — Outils et analyse de code

Pour exécuter le processus de test d'intrusion, la maîtrise de l'écriture et de la lecture du code est nécessaire afin d'identifier les vulnérabilités et de développer des outils. Outils et analyse de code, domaine 5 de l'examen de certification PenTest+, est responsable de 16 % des questions de l'examen. Le domaine a trois sections qui sont mentionnées ci-dessous :

5.1 Expliquer les concepts de base des scripts et du développement de logiciels.

• Constructions logiques • Structures de données • Bibliothèques • Des classes • Procédures • Les fonctions

5.2 Compte tenu d'un scénario, analysez un script ou un échantillon de code à utiliser dans un test d'intrusion.

• Coquilles • Langages de programmation • Analyser le code d'exploitation pour • Possibilités d'automatisation

5.3 Expliquer les cas d'utilisation des outils suivants lors des phases d'un test d'intrusion.

• Numériseurs • Outils de test des informations d'identification • OSINT • Débogueurs • Sans fil • Outils d'applications Web • Outils d'ingénierie sociale • Outils d'accès à distance • Outils de mise en réseau • Divers. • Outils de stéganographie • Outils cloud

Prêt à passer la certification CompTIA PenTest+ ?

Nous sommes un centre d'examen par procuration bien connu, offrant un grand nombre de certifications informatiques aux professionnels des technologies de l'information du monde entier.

Si vous souhaitez passer l'examen de certification CompTIA PenTest +, nous pouvons vous aider avec la même chose.

Contactez-nous pour en savoir plus sur nous et sur notre modèle d'examen par procuration, et l'un de nos consultants sera désigné pour vous aider en conséquence.

Continue de lire
Objectifs de l'examen de certification CompTIA Network+ (N10-007)
Objectifs de l'examen de certification CompTIA Network+ (N10-007)
La CompTIA (The Computing Technology Industry Association) est l'un des fournisseurs de certification bien connus et bien établis sous le soleil.
Objectifs de l'examen de certification CompTIA IT Fundamentals (ITF+) (FC0-U61)
Objectifs de l'examen de certification CompTIA IT Fundamentals (ITF+) (FC0-U61)
CompTIA est l'un des principaux fournisseurs de certifications informatiques indépendants des fournisseurs dans le monde. La certification IT Fundamentals (ITF +) est la certification la plus populaire parmi les professionnels de l'informatique qui souhaitent explorer les bases du domaine informatique.