무료 온라인 액세스 CompTIA.PT0-002.v2024-12-18.q192 모의 시험 (Page 16)

PT0-002 문제 71

조직 내에서 침투 테스트를 제공하려면 수행할 수 있는 연습의 특성과 유형, 그리고 언제 수행할 수 있는지에 대한 구체적인 매개변수를 정의해야 합니다. 다음 중 이 개념을 가장 잘 나타내는 것은 무엇입니까?

A. 작업 설명

B. 프로그램 범위

C. 비밀 유지 계약

D. 교전 규칙

PT0-002 문제 72

침투 테스트 팀이 건물에 진입하기 위해 물리적 침투 테스트를 실시하고 있습니다. 침투 테스터가 참여 문서 사본을 휴대해야 하는 이유는 다음 중 어느 것입니까?

A. 원본 문서가 분실된 경우를 대비한 백업으로 사용 가능

B. 건물 입구를 안내합니다.

C. 클라이언트와 청구 정보를 검증합니다.

D. 발견될 경우 증거로 사용

PT0-002 문제 73

대상 독자를 애플리케이션 개발자 팀으로 하여 작성된 정적 애플리케이션 보안 테스트의 최종 보고서에 포함하기에 가장 중요한 내용은 다음 중 무엇입니까?

A. 침투 테스트에 사용된 방법에 대한 요약

B. 평가 중 발생한 공급품, 하청 계약 및 비용을 포함한 자재 목록

C. 성공적인 소프트웨어 손상에 따른 정량적 영향 평가

D. 안전하지 않은 형변환 작업의 인스턴스에 대한 코드 컨텍스트

정답: D

정적 애플리케이션 보안 테스트(SAST)는 주입 결함, 크로스 사이트 스크립팅, 버퍼 오버플로 및 안전하지 않은 데이터 처리와 같은 잠재적인 취약성을 위해 애플리케이션의 소스 코드, 바이트코드 또는 바이너리 코드를 분석하는 소프트웨어 테스트 유형입니다. SAST 보고서는 애플리케이션 개발자에게 식별된 취약성의 위치, 심각도 및 영향에 대한 자세한 정보와 수정 권장 사항을 제공해야 합니다. SAST 보고서에 포함해야 할 가장 중요한 요소 중 하나는 각 취약성에 대한 코드 컨텍스트로, 문제가 발생한 관련 코드 조각과 취약성으로 이어지는 데이터 흐름 및 제어 흐름 경로를 보여줍니다. 이를 통해 개발자는 문제의 근본 원인과 해결 방법을 이해하는 데 도움이 됩니다. 코드 컨텍스트는 애플리케이션에서 보안 취약성의 일반적인 원인인 안전하지 않은 형변환 작업의 인스턴스에 특히 중요합니다. 형변환은 정수에서 문자열로 변환하는 것과 같이 한 데이터 유형을 다른 데이터 유형으로 변환하는 프로세스입니다. 안전하지 않은 타입캐스팅은 변환이 적절한 검증이나 살균 없이 수행될 때 발생하며, 이는 예상치 못한 동작, 메모리 손상, 데이터 손실 또는 코드 실행으로 이어질 수 있습니다. 예를 들어, C/C++에서 호환되지 않는 타입에 대한 포인터를 캐스팅하면 정의되지 않은 동작이나 버퍼 오버플로가 발생할 수 있습니다. 따라서 SAST 보고서에는 안전하지 않은 타입캐스팅 작업의 인스턴스에 대한 코드 컨텍스트가 포함되어야 개발자가 이를 검토하고 수정할 수 있습니다. 참조:
* 공식 CompTIA PenTest+ 학습 가이드(시험 PT0-002), 6장: 펜 테스트 결과 분석 및 보고, 329-330페이지.
* 정적 애플리케이션 보안 테스트(SAST) | GitLab1
* 정적 애플리케이션 보안 테스트(SAST)란 무엇입니까?2
* 애플리케이션 보안 테스트 보고서 2020 - Code Intelligence3
* 소프트웨어 보안 평가를 위한 정적 분석의 조합에 관하여...4

PT0-002 문제 74

취약성 스캔 중에 침투 테스터는 모든 비 Windows 클라이언트에 대해 다음 Nmap 명령을 입력합니다.
nmap -sX -T4 -p 21-25, 67, 80, 139, 8080 192.168.11.191
침투 테스터는 Wireshark에서 패킷 캡처를 검토하고 대상이 모든 대상 포트에 대해 RST 패킷 플래그를 설정하여 응답하는 것을 알아차립니다. 이 정보가 가장 잘 나타내는 것은 다음 중 어느 것입니까?

A. 대상 범위의 모든 포트가 닫혔습니다.

B. Nmap이 대상 범위의 포트를 스캔하는 데 더 많은 시간이 필요합니다.

C. 대상 범위의 포트는 일반적인 UDP 포트이기 때문에 스캔할 수 없습니다.

D. 대상 범위의 모든 포트가 열려 있습니다.

PT0-002 문제 75

침투 테스터가 코드 저장소를 발견하고 비밀번호가 데이터베이스에 저장되기 전에 다음 코드로 해시된 것을 알아챘습니까? salt = '123' hash = hashlib.pbkdf2_hmac('sha256', plaintext, salt,
10000) 테스터는 코드를 다음과 같이 업데이트할 것을 권장했습니다. salt = os.urandom(32) hash = hashlib.pbkdf2_hmac('sha256', plaintext, salt, 10000) 침투 테스터는 다음 중 어떤 단계를 권장해야 합니까?

A. 이 코드 업데이트 이전에 생성된 비밀번호 변경

B. 호환성을 위해 두 메서드에서 생성된 해시 유지

C. 모든 이전 비밀번호를 새 코드로 다시 해싱합니다.

D. SHA-256 알고리즘을 보다 안전한 것으로 교체

다른 버전: 3451CompTIA.PT0-002.v2024-06-24.q330; 1462CompTIA.PT0-002.v2024-04-23.q371; 1557CompTIA.PT0-002.v2023-05-06.q163; 1332CompTIA.PT0-002.v2022-10-21.q80; 2169CompTIA.PT0-002.v2022-09-09.q76; 1052CompTIA.PT0-002.v2022-06-02.q66

최근 업로드: 118NLN.NEX.v2026-06-04.q54; 119Microsoft.AZ-500-KR.v2026-06-04.q213; 115Microsoft.DP-600-KR.v2026-06-04.q98; 149Microsoft.AZ-204-KR.v2026-06-04.q237; 144Microsoft.PL-600-KR.v2026-06-04.q112; 203Microsoft.SC-300-KR.v2026-06-03.q151; 166Microsoft.DP-600-KR.v2026-06-03.q70; 943PMI.PMP-KR.v2026-06-01.q1069; 251Microsoft.MS-102-KR.v2026-06-01.q252; 167Microsoft.AZ-104-KR.v2026-06-01.q197