Esame di certificazione CompTIA PenTest+ (PT0-002): Panoramica dei domini
Nell'ambito del percorso di sicurezza informatica CompTIA, PenTest+ è una delle certificazioni avanzate per i penetration test.
Il corso d'esame PenTest+ è progettato per verificare la conoscenza del candidato del processo, degli strumenti e delle tecniche necessarie per i penetration test.
CompTIA raccomanda candidati con 3-4 anni di esperienza pratica in penetration testing, valutazione delle vulnerabilità e analisi del codice.
CompTIA PenTest+ è una certificazione entry-level per penetration test progettata per i professionisti della sicurezza informatica responsabili dei penetration test e della valutazione e gestione delle vulnerabilità.
CompTIA PenTest+ è una delle certificazioni più prestigiose in ambito di penetration testing per la sicurezza informatica, focalizzata sulle competenze offensive attraverso il pen testing e la valutazione delle vulnerabilità.
Un professionista della sicurezza informatica certificato CompTIA PenTest+ possiede le seguenti conoscenze e competenze:
Numero di domande - Massimo 85 Tipi di domande - A risposta multipla e basate sulle prestazioni Durata del test - 165 minuti Esperienza consigliata - 3-4 anni di esperienza pratica nell'esecuzione di penetration test, valutazioni delle vulnerabilità e analisi del codice Punteggio di superamento - 750 (su una scala da 100 a 900)
L'esame PenTest+ dura 165 minuti. Nel tempo stabilito, dovrai rispondere a un massimo di 85 domande a risposta multipla e basate sulle prestazioni.
Il punteggio minimo per superare l'esame è 750 (su una scala da 100 a 900).
Il corso di certificazione CompTIA PenTest+ sulla sicurezza informatica è suddiviso nei seguenti cinque domini o argomenti.
1.0 Pianificazione e definizione dell'ambito - 14% 2.0 Raccolta di informazioni e scansione delle vulnerabilità - 22% 3.0 Attacchi ed exploit 30% 4.0 Reporting e comunicazione - 18% 5.0 Strumenti e analisi del codice - 16%
Il primo dominio dell'esame PenTest+ riguarda la pianificazione e la definizione dell'ambito di un'attività di penetration testing. Se consideriamo il punteggio complessivo dell'esame, l'ambito di pianificazione e definizione della portata costituisce il 14% del punteggio del candidato.
Inoltre, il dominio uno è suddiviso nelle tre sezioni seguenti:
1.1 Confrontare e contrapporre i concetti di governance, rischio e conformità.
• Considerazioni sulla conformità normativa • Restrizioni di localizzazione • Concetti legali • Autorizzazione all'attacco
1.2 Spiegare l'importanza della definizione dell'ambito e dei requisiti organizzativi/clienti.
• Standard e metodologie • Regole di ingaggio • Considerazioni ambientali • Elenco dei target/asset inclusi nell'ambito • Convalidare l'ambito dell'ingaggio
1.3 Dato uno scenario, dimostrare una mentalità da hacking etico mantenendo professionalità e integrità.
• Verifiche dei precedenti del team di penetration testing • Aderire a un ambito specifico dell'ingaggio • Identificare le attività criminali • Segnalare immediatamente violazioni/attività criminali • Limitare l'uso di strumenti a un ingaggio specifico • Limitare l'invasività in base all'ambito • Mantenere la riservatezza di dati/informazioni • Rischi per il professionista
Ricognizione aggiunge un valore significativo al processo di penetration testing, fornendo informazioni preziose per valutare le debolezze della sicurezza e progettare un piano di attacco. La raccolta di informazioni e la scansione delle vulnerabilità rappresentano il 22% delle domande dell'esame di certificazione PenTest+, suddiviso in tre parti principali:
2.1 Dato uno scenario, eseguire una ricognizione passiva.
• Ricerche DNS • Identificare i contatti tecnici • Contatti dell'amministratore • Cloud vs. self-hosted • Scraping dei social media • Difetti crittografici • Reputazione aziendale/livello di sicurezza • Dati • Intelligence open source (OSINT)
2.2 Dato uno scenario, eseguire una ricognizione attiva.
• Enumerazione • Ricognizione del sito web • Creazione di pacchetti • Rilevamento delle difese • Wardriving • Traffico di rete • Token • Individuazione delle risorse cloud • Servizi ospitati da terze parti • Elusione del rilevamento
2.3 Dato uno scenario, analizzare i risultati di un esercizio di ricognizione.
• Fingerprinting • Analizzare l'output da
2.4 Dato uno scenario, eseguire Scansione delle vulnerabilità.
• Considerazioni sulla scansione delle vulnerabilità • Nmap • Scansione degli obiettivi identificati alla ricerca di vulnerabilità • Impostazione delle impostazioni di scansione per evitare il rilevamento • Metodi di scansione • Strumenti di test delle vulnerabilità che facilitano l'automazione
Attacchi ed exploit, che è il dominio numero tre, aggiungono il valore più considerevole all'esame di certificazione PenTest+, rappresentando il 30% delle domande dell'esame. Gli argomenti inclusi in questo dominio sono di vasta portata e coprono potenziali attacchi contro qualsiasi sistema che i professionisti della penetrazione potrebbero incontrare nel loro percorso di penetrazione. Il dominio degli attacchi e degli exploit è suddiviso in sette sezioni: 3.1 Dato uno scenario, ricercare i vettori di attacco ed eseguire attacchi di rete.
• Stress test per la disponibilità • Risorse di exploit • Attacchi • Strumenti
3.2 Dato uno scenario, ricercare i vettori di attacco ed eseguire attacchi wireless.
• Metodi di attacco • Strumenti • Attacchi
3.3 Dato uno scenario, ricercare i vettori di attacco ed eseguire attacchi basati sulle applicazioni.
• Top 10 OWASP • Falsificazione delle richieste lato server • Difetti della logica di business • Attacchi di iniezione • Vulnerabilità delle applicazioni • Vulnerabilità delle applicazioni • Attraversamento delle directory • Strumenti • Risorse
3.4 Dato uno scenario, ricercare i vettori di attacco ed eseguire attacchi alle tecnologie cloud.
• Attacchi • Strumenti
3.5 Spiegare gli attacchi e le vulnerabilità comuni contro sistemi specializzati.
• Dispositivi mobili • Dispositivi Internet of Things (IoT) • Dati Vulnerabilità del sistema di storage • Vulnerabilità dell'interfaccia di gestione • Vulnerabilità relative al controllo di supervisione e acquisizione dati (SCADA)/Internet of Things industriale (IIoT)/sistema di controllo industriale (ICS) • Vulnerabilità relative agli ambienti virtuali • Vulnerabilità relative ai carichi di lavoro containerizzati
3.6 Dato uno scenario, eseguire un attacco di ingegneria sociale o fisico.
• Pretesto per un approccio • Attacchi di ingegneria sociale • Attacchi fisici • Impersonificazione • Strumenti • Metodi di influenza
3.7 Dato uno scenario, eseguire tecniche di post-exploitation.
• Strumenti di post-exploitation • Movimento laterale • Test di segmentazione della rete • Escalation dei privilegi • Creazione di un punto d'appoggio/persistenza • Aggiornamento di una shell restrittiva • Elusione del rilevamento • Enumerazione
Il reporting e la comunicazione sono una delle parti essenziali del Processo di penetration testing. Il reporting e la comunicazione, dominio 4 dell'esame di certificazione PenTest+, incidono per il 18% sul punteggio PenTest+. La sezione è suddivisa in quattro sezioni:
4.1 Confrontare e mettere a confronto i componenti importanti dei report scritti.
• Destinatari del report • Contenuto del report (** non in un ordine particolare) • Tempo di archiviazione del report • Distribuzione sicura • Prendere appunti • Temi comuni/cause profonde
4.2 Dato uno scenario, analizzare i risultati e raccomandare la soluzione appropriata all'interno di un report.
• Controlli tecnici • Controlli amministrativi • Controlli operativi • Controlli fisici
4.3 Spiegare l'importanza della comunicazione durante il processo di penetration testing.
• Percorso di comunicazione • Trigger di comunicazione • Motivi della comunicazione • Riorganizzazione delle priorità degli obiettivi • Presentazione dei risultati
4.4 Spiegare le attività successive alla consegna del report.
• Pulizia post-engagement • Accettazione del cliente • Lezioni apprese • Azioni di follow-up/nuovi test • Attestazione dei risultati • Processo di distruzione dei dati
Per eseguire il processo di penetration testing, è necessaria la padronanza della scrittura e della lettura del codice per identificare le vulnerabilità e sviluppare strumenti. L'analisi di strumenti e codice, dominio 5 dell'esame di certificazione PenTest+, è responsabile del 16% delle domande dell'esame. Il dominio è suddiviso in tre sezioni, di seguito elencate:
5.1 Spiegare i concetti base dello scripting e dello sviluppo software.
• Costrutti logici • Strutture dati • Librerie • Classi • Procedure • Funzioni
5.2 Dato uno scenario, analizzare uno script o un esempio di codice da utilizzare in un penetration test.
• Shell • Linguaggi di programmazione • Analizzare il codice exploit per • Opportunità di automazione
5.3 Spiegare i casi d'uso dei seguenti strumenti durante le fasi di un penetration test.
• Scanner • Strumenti per il test delle credenziali • OSINT • Debugger • Wireless • Strumenti per applicazioni web • Strumenti di social engineering • Strumenti di accesso remoto • Strumenti di rete • Varie • Strumenti di steganografia • Strumenti cloud
Siamo un rinomato centro d'esame proxy, che offre un'ampia gamma di certificazioni IT a professionisti dell'informatica in tutto il mondo.
Se desideri sostenere l'esame di certificazione CompTIA PenTest+, possiamo aiutarti.
Contattaci per saperne di più su di noi e sul nostro modello d'esame proxy: uno dei nostri consulenti ti assisterà al meglio.
Copyright © 2024 - Tutti i diritti riservati.
