すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

2024 ECSA試験対策:EC-Council認定セキュリティアナリスト試験対策:模擬試験&学習教材|SPOTO

あなたの2024年ECSA試験準備に合わせたリソースの包括的なコレクションをご覧ください:EC-Council Certified Security Analystの模擬試験と学習教材|SPOTO。弊社は模擬試験、無料テスト、試験練習資料、オンライン試験問題、サンプル問題、試験ダンプ、試験問題と解答などの貴重なツールを提供します。弊社の模擬試験は実際の試験環境を模擬したもので、あなたの準備状況を測定し、改善すべき点を特定することができます。弊社の最新の模擬試験問題集を利用すれば、自信を持って認定試験に合格する準備をすることができます。EC-Council Certified Security Analyst 認定資格は、Certified Ethical Hacker (CEH) 認定資格の基礎の上に構築されており、倫理的ハッキングの分析段階に重点を置いています。ECSA の資格を取得すると、ハッキング・ツールや技術の結果を分析する能力があることを証明し、熟練したサイバーセキュリティのプロフェッショナルとしての地位を確立できます。ECSAを取得することで、サイバーセキュリティのプロフェッショナルとして一目置かれるようになります。

他のオンライン試験を受ける
質問 #1
SqSac Solutions Ltd.の侵入テスト担当者であるハリーは、会社のSQLサーバーデータベースに脆弱性があるかどうかを確認しようとしています。彼はまた、犯人が悪用してデータベースからユーザーアカウントのログイン詳細にアクセスすることを可能にする抜け穴が存在するかどうかをチェックしたいと考えています。さまざまなテスト試行を行った後、最終的にハリーはSQLクエリを実行し、利用可能なすべてのWindowsログインアカウントの詳細を抽出することができました。ハリーは次のSQLクエリのどれを実行して、ログイン情報を取得しましたか。
A. SELECT name FROM sys
B. SELECT name FROM sys
C. SELECT name FROM sys
D. SELECT name FROM sys
回答を見る
正解: A
質問 #2
デイビッドは、若手コンサルタントとしてペンテストの課題に取り組んでいる。彼の上司は、あるウェブ・アプリケーションの SQL インジェクションをテストするように言いました。上司はまた、そのウェブ・アプリケーションが "admin' OR '"インジェクションに対して脆弱であることが知られていることをデビッドに伝えました。デイビッドがこの文字列を試したところ、入力が許可されていないというWAFのエラーメッセージが表示されました。DavidがWAFフィルタリングを回避するために、上記の文字列の代わりに使用できる文字列はどれか。
A. exec sp_addsrvrolemember 'name ' , 'sysadmin '
B. ユニオンセレクト
C. または'1'='1'--。
D. 'またはchar(37)のようなユーザー名;
回答を見る
正解: D
質問 #3
デールはペネトレーション・テスターであり、セキュリティの専門家である。デトロイトに本社を置くサム・モリソン社に勤務している。彼はあるクライアントの外部侵入テストを担当することになった。作業に入る前に、彼は偵察から始め、その組織についての詳細を掴みたかった。彼はNetcraftやSHODANのようなツールを使い、クライアントの内部URLを取得した。内部URLからどのような情報が得られるのか?
A. 内部URLは、組織内の様々な部門やビジネスユニットに関する情報を提供する。
B. 内部URLはデータベース関連情報を提供する。
C. 内部URLはサーバー関連情報を提供する
D. 内部URLは組織の脆弱性を提供する
回答を見る
正解: B
質問 #4
プロのハッカーであるクラークは、標的の組織が提供するサービスをダウンさせることにした。最初の情報収集の段階で、彼は被害者のシステムのTCP/IPプロトコル・スタックにいくつかの脆弱性を検出した。彼はこれらの脆弱性を悪用して、十分な大きさの複数の不正なパケットを作成し、これらの異常に細工されたパケットを被害者のマシンに送信しました。Clarkによって実行されている攻撃のタイプを特定しますか?
A. 辞書攻撃
B. DoS攻撃
C. SNMPブルートフォース攻撃
D. ARP攻撃
回答を見る
正解: B
質問 #5
ペンテスターのスミスは、ある組織のセキュリティ態勢を分析するために雇われ、Wireshark を使用してネットワークで使用されているオペレーティングシステムを見つけようとしています。以下の Wireshark のスクリーンショットで選択されたパケットから何が推測できますか?
A. IPが10
B. IP 10
C. IPが10
D. IP10
回答を見る
正解: B
質問 #6
ピーターはペンテストの課題に取り組んでいる。偵察の段階で、ピーターはクライアントのSYSLOGシステムが毎月第2土曜日にメンテナンスのために4時間停止していることを発見した。彼はクライアントのウェブページを分析し、ロギング機構を作動させることなく機密情報を得たいと考えている。クライアントのウェブサイトには何百ものページがあり、たった4時間ですべての情報を分析するのは難しい。すべてのウェブページをステルス的に分析するために、ピーターは何をすればいいのだろうか?
A. HTTrack を使ってウェブサイト全体をミラーリングする
B. WayBackMachineを使う
C. DNSの逆引きを行う
D. インターネット、ニュースグループ、掲示板、否定的なウェブサイトから、クライアントに関する情報を探す。
回答を見る
正解: D
質問 #7
以下のICMPパケットを分析し、正しい記述をマークしなさい。
A. 断片化が必要なpingパケットだが、Don't Fragmentフラグが設定されている。
B. pingのリクエストだが、宛先ポートが到達できない
C. 宛先ホストが不明な場合のping応答です。
D. これはpingリクエストですが、宛先ネットワークは到達不可能です。
回答を見る
正解: A
質問 #8
Johnはネットワーク管理者で、プライマリドメインコントローラー(DC)サーバーのActive Directoryロールを構成している。プライマリDCのFSMO(Flexible Single Master Operation)ロールを構成する際、彼は企業内のすべてのDC間で時刻を同期するロールの1つを構成した。彼が設定したロールは、ドメイン内の他のDCによって実行されたパスワード変更、不正なパスワードの入力による認証失敗、アカウントロックアウト活動の処理も記録する。W
A. RIDマスター
B. PDCエミュレータ
C. ドメイン・ネーミング・マスター
D. スキーママスター
回答を見る
正解: B
質問 #9
Techsoft Solutions社のセキュリティ・アナリストが、会社の重要なIT資産に対して侵入テストを行っている。このプロセスの一環として、彼は実際の攻撃者の手法とテクニックをシミュレートしている。セキュリティアナリストが実施するテストの種類を特定しなさい。
A. 発表されたテスト
B. ブラインドテスト
C. ホワイトボックステスト
D. 抜き打ちテスト
回答を見る
正解: B
質問 #10
アダムはEon Tech Services Ltd.でシニア・ペネトレーション・テスターとして働いている。同社は彼に、自社のデータベースに対する侵入テストを依頼した。同社はMicrosoft SQL Serverを使用しているとアダムに伝えた。侵入テストの一環として、アダムは会社のデータベースに関する完全な情報を知りたい。彼は情報を得るためにNmapツールを使用します。アダムが情報を得るために使用するNmapコマンドはどれか。
A. nmap -p2051 --script ms-sql-info
B. nmap -p1801 --script ms-sql-info
C. nmap -p1443 --script ms-sql-info
D. nmap -p1521 --script ms-sql-info
回答を見る
正解: B
質問 #11
アーリータイムズのソーシャルメディア・エディターであるジャクソンは、特定の業界で使用されているソフトウェアのオープンソースプロトコルや一般的なファイルフォーマットの多くに、悪用可能なゼロデイ脆弱性が存在することを突き止めた。ソフトウェアの脆弱性を特定するために、彼はターゲットとなるソフトウェアに不正な入力やランダムな入力を送り、その結果を観察した。このテクニックは、ゼロデイ脆弱性の発見に役立ち、セキュリティ・チームがソフトウェアの品質とセキュリティが低下している部分を特定するのに役立つ。
A. アプリケーション・ファズ・テスト
B. アプリケーションブラックテストC
C. D
回答を見る
正解: D
質問 #12
ジョンは、ABC社で新しくペネトレーションテストのマネジャーに任命された。彼は、侵入テストチームを構築するタスクを割り当てられ、投資収益率(ROI)を正当化するように求められます。チームから期待されるリターンや投資コストのようなパラメータを考慮して、チームの ROI を評価し予測するために、ジョンはどのように ROI を計算できますか?
A. ROI=(投資コスト-期待リターン)/期待リターン
B. ROI=(期待リターン-投資コスト)/投資コスト
C. ROI=(期待リターン+投資コスト)/投資コスト
D. ROI=(投資コスト+期待リターン)/期待リターン
回答を見る
正解: A
質問 #13
SecInfoはサイバーセキュリティの大手プロバイダーで、最近セキュリティ・アナリストのアンドリューを雇った。アンドリューは、NFCデバイスに対する攻撃を行うことで、NFCデバイスの脆弱性を特定する任務を与えられた。このプロセスにおいて、彼はデータを共有しているNFCデバイスのすぐ近くに自分のデバイスを設置し、データを盗聴すると同時に受信側への送信をブロックした。その後、彼はキャプチャしたデータを操作し、さらにデータを受信機に中継した。タイプを特定する
A. チケットのクローン化
B. MITM攻撃
C. DoS攻撃
D. ウイルス攻撃
回答を見る
正解: A
質問 #14
HyThech Technologiesの最近の調査によると、最も人気のある3つのウェブサイトは、そのウェブアプリケーションに最も一般的に悪用可能な欠陥があることが判明した。この脆弱性を利用して、攻撃者はユーザーのマシン上で実行可能な悪意のあるコードを注入することができます。また、この脆弱性の最もセンシティブなターゲットは、セッション・クッキーを盗むことであることも明らかになりました。これは、攻撃者がユーザー・セッションを複製し、個人情報の操作やクレーム処理など、ユーザーがウェブサイト上で実行できるあらゆることにアクセスするのに役立ちます。
A. DoS脆弱性
B. バッファオーバーフローの脆弱性
C. 安全でない分散化の脆弱性
D. XSS脆弱性
回答を見る
正解: D
質問 #15
マーティンはプロの倫理ハッカーおよび侵入テスターとして働いている。彼はESCA認定プロフェッショナルであり、LPT手法に従って侵入テストを実施している。彼は顧客のネットワークに関する情報収集のプロジェクトを任された。彼はペネトレーション・テストを開始し、社内の URL を見つけ出そうとし(主に試行錯誤で)、さまざまな部門や事業部に関する情報を探していた。マーティンはどんな情報も見つけることができなかった。マーティンはどうすればいいのだろうか?
A. マーティンは、eMailTrackerProのようなメールトラッキングツールを使って、社内URLを見つけるべきです。
B. マーティンはnetcraft
C. マーティンはArchive
D. マーティンは、HTTPSrack Web Site CopierのようなWebサイトミラーリングツールを使用して、会社の内部URLを見つける必要があります。
回答を見る
正解: A
質問 #16
Joeは、Xsecurity Inc.でエンゲージメントチームのリーダーとして働いている。彼のペンテストチームは、標準的なペンテストプロシージャにすべて従っていたが、チームメンバーの一人が、クライアントの機密情報を含む文書をうっかり削除してしまった。クライアントは損害賠償を求めてXsecurity社を訴えています。この訴訟を回避するために、Joe はペネトレーションテスト契約書のどの部分をより良く書くべきでしたか?
A. 侵入テストの目的
B. 補償条項
C. 料金とプロジェクトスケジュール
D. 秘密保持条項
回答を見る
正解: C
質問 #17
侵入テスターのジェームズは、ウェブサイトhttp://www.xsecurity.com、SQLインジェクションの脆弱性を発見した。彼は sqlmap を使用し、SQL サーバからウェブサイトのデータベースを抽出しました。データベース "office "に関連するテーブルを抽出するためにJamesが発行するsqlmapクエリはどれか。
A. sqlmap -u "www
B. sqlmap -u "www
C. sqlmap -u "www
D. sqlmap -u "www
回答を見る
正解: D
質問 #18
あるウェブアプリケーション開発者が、ユーザ入力を検証するコードを書いている。彼の目的は、ユーザ入力を事前に定義された否定的な入力のリストと照らし合わせて検証し、受信した入力が否定的な条件の一つでないことを確実にすることです。開発者が実装している入力フィルタリング機構を特定しなさい。
A. ブラックリスト
B. ホワイトリスト
C. 認証
D. 認可
回答を見る
正解: B
質問 #19
スチュアートはリージョナル・サーバー・テクノロジーズで働くデータベース侵入テスターである。彼は同社からSQLデータベースの脆弱性を特定するよう依頼された。StuartはWebアプリケーションにSQLコマンドを渡して実行させ、ワイルドカード属性インジケータを使ったコマンドでSQL侵入を成功させようとしました。次の文字列のうち、ワイルドカード属性インジケータはどれですか?
A. パラメータ1=foo&パラメータ2=bar
B. %
C. 変数
D. 変数
回答を見る
正解: D
質問 #20
Trinity Ltd.のペネトレーション・テスターは、IoTデバイスのテストを行っている。このプロセスの一環として、彼はNmapなどのポートスキャナーを使ってIoTデバイスのオープンポートをチェックしている。オープン・ポートを特定した後、彼は自動化ツールを使用して、各オープン・ポートに悪用可能な脆弱性がないかどうかをチェックし始めました。ペネトレーション・テスターが発見しようとしているIoTセキュリティ問題を特定する?
A. 安全でないソフトウェア/ファームウェア
B. トランスポート暗号化の欠如
C. 安全でないネットワークサービス
D. セキュリティ設定の不十分さ
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.