今すぐオンラインで試験に合格し、試験に合格した後に支払います。 今コンタクトしてください
私たちとしゃべる:
whatsapp
telegram
CompTIA PenTest+

CompTIA PenTest+ 認定試験 (PT0-002): ドメインの概要

Jan 10, 202113 s 読むAmit Masih
CompTIA PenTest+ 認定試験 (PT0-002): ドメインの概要

CompTIA PenTest+ 認定試験 (PT0-002): ドメインの概要

CompTIA サイバーセキュリティ経路に関しては、PenTest+ は高度な侵入テスト認定の 1 つです。

PenTest+ 試験コースは、侵入テストに必要なプロセス、ツール、および技術に関する受験者の知識をテストするように設計されています。

CompTIA は、侵入、脆弱性評価、およびコード分析の実践経験が 3 ~ 4 年ある候補者を推奨しています。

CompTIA PenTest+ 試験 (PT0-002) とは何ですか?

CompTIA PenTest+ は、侵入テストと脆弱性の評価と管理を担当するサイバーセキュリティの専門家向けに設計されたエントリーレベルの侵入テスト認定です。

CompTIA PenTest+ は、侵入テストと脆弱性評価による攻撃スキルに焦点を当てた、優れたサイバーセキュリティ侵入テスト認定の 1 つです。

認定された CompTIA PenTest+ サイバーセキュリティ プロフェッショナルは、次の知識とスキルを備えています。

  • 侵入テストの取り組みを計画し、調査します
  • 法律およびコンプライアンス要件を理解する
  • 適切なツールと技術を使用して脆弱性スキャンと侵入テストを実行し、結果を分析する
  • 提案された修復技術を含む報告書を作成し、管理チームに効果的に結果を伝え、実用的な推奨事項を提供する

CompTIA PenTest+ 試験 (PT0-002) の詳細

問題数 - 最大 85 質問の種類 - 多肢選択式とパフォーマンス ベース テストの長さ - 165 分 推奨される経験 - 侵入テスト、脆弱性評価、およびコード分析を実行する 3 ~ 4 年の実務経験 合格点 - 750 (100 ~ 900 点満点)

PenTest+ (PT0-002) ドメインの概要

PenTest+ 試験の長さは 165 分です。決められた時間内に、最大 85 問の多肢選択問題とパフォーマンス ベースの質問に答える必要があります。

合格点は 750 点 (100 ~ 900 点満点) です。

CompTIA PenTest+ サイバーセキュリティ認定コースは、次の 5 つのドメインまたはトピックに分かれています。

1.0 計画とスコーピング - 14% 2.0 情報収集と脆弱性スキャン - 22% 3.0 攻撃とエクスプロイト 30% 4.0 レポートとコミュニケーション - 18% 5.0 ツールとコード分析 - 16%

ドメイン 1 — 計画と調査

PenTest+ 試験の最初のドメインは、侵入テストの計画と範囲設定をカバーしています。試験の全体的なスコアについて言えば、計画とスコープのドメイン自体が受験者のスコアの 14% を占めています。

さらに、ドメイン 1 は次の 3 つのセクションに分割されます。

1.1 ガバナンス、リスク、およびコンプライアンスの概念を比較対照します。

• 規制遵守に関する考慮事項 • 場所の制限 • 法的概念 • 攻撃の許可

1.2 スコーピングと組織/顧客の要件の重要性を説明します。

• 基準と方法論 • 関与のルール • 環境への配慮 • 対象リスト/範囲内のアセット • エンゲージメントの範囲を検証する

1.3 与えられたシナリオで、プロフェッショナリズムと誠実さを維持することにより、倫理的なハッキングの考え方を示します。

• 侵入テスト チームのバックグラウンド チェック • 特定のエンゲージメント範囲を遵守する • 犯罪行為の特定 • 侵害/犯罪行為を直ちに報告する • ツールの使用を特定の業務に限定する • 範囲に基づいて侵襲性を制限する • データ/情報の機密性を維持する • 専門家へのリスク

ドメイン 2 — 情報収集と脆弱性スキャン

偵察は侵入テスト プロセスに大きな価値をもたらし、セキュリティの弱点を評価し、攻撃計画を設計するための貴重な情報を提供します。情報収集と脆弱性スキャンは、PenTest+ 認定試験の問題の 22% を占め、次の 3 つの主要部分に分かれています。

2.1 与えられたシナリオで、受動的偵察を実行します。

• DNS ルックアップ • 技術担当者の特定 • 管理者の連絡先 • クラウドと自己ホスト型 • ソーシャル メディアのスクレイピング • 暗号の欠陥 • 会社の評判/セキュリティ体制 • データ • オープンソース インテリジェンス (OSINT)

2.2 与えられたシナリオで積極的な偵察を行う

•列挙 • ウェブサイトの偵察 • パケット クラフティング • 防御検出 •ウォードライビング • ネットワーク トラフィック •トークン • クラウド アセットの検出 • サードパーティのホスト サービス • 検出回避

2.3 与えられたシナリオで、偵察演習の結果を分析します。

• フィンガープリント • からの出力を分析する

2.4 与えられたシナリオで、脆弱性スキャンを実行します。

• 脆弱性スキャンに関する考慮事項 • Nmap • 特定されたターゲットの脆弱性をスキャン • 検出を回避するようにスキャン設定を設定する • スキャン方法 • 自動化を促進する脆弱性テスト ツール

ドメイン 3 — 攻撃とエクスプロイト

ドメイン番号 3 である攻撃とエクスプロイトは、PenTest+ 認定試験で最も重要な価値を追加し、試験の質問の 30% を占めています。このドメインに含まれるトピックは、侵入の専門家が侵入の過程で遭遇する可能性のあるシステムに対する潜在的な攻撃をカバーする広範囲にわたるものです。攻撃と悪用のドメインは、次の 7 つのセクションに分かれています。

3.1 与えられたシナリオで、攻撃ベクトルを調査し、ネットワーク攻撃を実行します。

• 可用性のストレス テスト • リソースを活用する • 攻撃 • ツール

3.2 与えられたシナリオで、攻撃ベクトルを調査し、ワイヤレス攻撃を実行します。

• 攻撃方法 • ツール • 攻撃

3.3 与えられたシナリオで、攻撃ベクトルを調査し、アプリケーション ベースの攻撃を実行します。

• OWASP トップ 10 • サーバー側のリクエスト フォージェリ • ビジネス ロジックの欠陥 • インジェクション攻撃 • アプリケーションの脆弱性 • アプリケーションの脆弱性 • ディレクトリ トラバーサル • ツール • 資力

3.4 与えられたシナリオで、攻撃ベクトルを調査し、クラウド テクノロジに対する攻撃を実行します。

• 攻撃 • ツール

3.5 特殊なシステムに対する一般的な攻撃と脆弱性について説明します。

• モバイル •モノのインターネット(IoT)デバイス • データ ストレージ システムの脆弱性 • 管理インターフェースの脆弱性 • 監視制御およびデータ取得 (SCADA) / 産業用モノのインターネット (IIoT) / 産業用制御システム (ICS) に関連する脆弱性 • 仮想環境に関連する脆弱性 • コンテナ化されたワークロードに関連する脆弱性

3.6 与えられたシナリオで、ソーシャル エンジニアリングまたは物理的な攻撃を実行します。

• アプローチの口実 • ソーシャル エンジニアリング攻撃 • 物理攻撃 • なりすまし • ツール •影響の方法

3.7 与えられたシナリオで、悪用後の手法を実行します。

• 悪用後のツール •横方向の動き • ネットワーク セグメンテーション テスト • 権限昇格 • 足場/持続性の作成 • 制限付きシェルのアップグレード • 検出回避 •列挙

ドメイン 4 — 報告とコミュニケーション

報告と伝達は、侵入テスト プロセスの重要な部分の 1 つです。 PenTest+ 認定試験のドメイン 4 であるレポートとコミュニケーションは、PenTest+ スコアの 18% を占めます。このセクションは、次の 4 つのセクションに分かれています。

4.1 報告書の重要な要素を比較対照する

• レポート対象者 ・報告内容(**順不同) • レポートの保存時間 • 安全な配布 • ノートを取ること • 共通のテーマ / 根本原因

4.2 与えられたシナリオで、調査結果を分析し、レポート内で適切な修復を推奨します。

• 技術的管理 • 管理上の制御 • 運用管理 •物理的なコントロール

4.3 侵入テスト プロセス中のコミュニケーションの重要性を説明します。

• 通信経路 • 通信トリガー • コミュニケーションの理由 • 目標の再優先付け • 調査結果のプレゼンテーション

4.4 レポート配信後のアクティビティについて説明します。

• エンゲージメント後のクリーンアップ • クライアントの承諾 • 学んだ教訓 • フォローアップ アクション/再テスト • 調査結果の証明 • データ破壊プロセス

ドメイン 5 — ツールとコード分析

侵入テストプロセスを実行するには、脆弱性を特定してツールを開発するために、コードの読み書きの習熟が必要です。 PenTest+ 認定試験のドメイン 5 であるツールとコード分析は、試験の問題の 16% を担当しています。ドメインには、以下に示す 3 つのセクションがあります。

5.1 スクリプトとソフトウェア開発の基本概念を説明します。

• 論理構造 • データ構造 • ライブラリ • クラス • 手順 • 機能

5.2 与えられたシナリオで、侵入テストで使用するスクリプトまたはコード サンプルを分析します。

• シェル • プログラミング言語 • エクスプロイト コードを分析して、 • 自動化の機会

5.3 侵入テストのフェーズにおける次のツールの使用例を説明してください。

• スキャナー • 資格試験ツール •OSINT • デバッガー • ワイヤレス • ウェブ アプリケーション ツール • ソーシャル エンジニアリング ツール • リモート アクセス ツール • ネットワーキング ツール •その他。 • ステガノグラフィ ツール • クラウド ツール

CompTIA PenTest+ 認定を受ける準備はできましたか?

私たちは有名な代理試験センターであり、世界中の情報技術の専門家に多数の IT 認定資格を提供しています。

CompTIA PenTest+ 認定試験を受験したい場合は、同じようにお手伝いできます。

私たちと代理試験パターンの詳細については、お問い合わせください。それに応じて、コンサルタントの 1 人が割り当てられます。

読み続けます
CompTIA Network+ 認定試験の目的 (N10-007)
CompTIA Network+ 認定試験の目的 (N10-007)
CompTIA (The Computing Technology Industry Association) は、太陽の下で有名で定評のある認定プロバイダーの 1 つです。
CompTIA IT Fundamentals (ITF+) 認定試験の目的 (FC0-U61)
CompTIA IT Fundamentals (ITF+) 認定試験の目的 (FC0-U61)
CompTIA は、世界中の主要なベンダー中立的な IT 認定プロバイダーの 1 つです。 IT Fundamentals (ITF+) 認定は、IT 分野の基礎を探求したい IT プロフェッショナルの間で最も人気のある資格です。