包括的なCompTIA CAS-003試験問題集、CompTIA CASP+認定資格｜SPOTO

ある企業が新しい VDI 環境に移行しようとしており、システムエンジニアが VDI の持続可能なセキュリティ戦略の策定を担当しています。次のうち、最も適切な手順の順序はどれですか。

あるコンサルティング会社が、ある企業のアセスメントを依頼された。最初の段階で、侵入テスト者は以下の出力を提供するツールを使用した：TCP 80 open TCP 443 open TCP 1434 filtered 侵入テスト者は、次に別のツールを使って次のリクエストを行った：GET / script/login.php?token=45$MHT000MND876 GET / script/login.php?token=@#984DCSPQ%091DF 侵入テスト者が使用したツールはどれか。

あるセキュリティ・エンジニアが、あるシステムの鍵生成に使われる数値の乱数性を高めようと試みている。その目的は、予測分析攻撃に対する鍵の強化である。最善の解決策はどれか。

オンラインショッピングカートで、顧客がリストされた商品の価格を任意に変更できるという問題が通知された後、プログラマーはウェブベースのショッピングカートで使用されている以下のコード部分を分析した。SELECT ITEM FROM CART WHERE ITEM=ADDSLASHES($USERINPUT); このプログラマは、ユーザがカートに商品を追加するたびに、ウェブサーバの/tmpディレクトリに一時ファイルが作成されることを発見しました。このテンポラリファイルは$USERINPUTの内容を連結して生成された名前を持っています。

ある教育機関が、遠隔地の学生にもコンピュータラボを利用できるようにしたいと考えている。このラボは、さまざまなITネットワーク、セキュリティ、プログラミングのコースに使用されます。要件は以下の通りです：各研究室は独立したネットワークセグメント上にあること。ラボはインターネットにアクセスできなければならないが、他のラボのネットワークにはアクセスできない。学生のデバイスは、ラボ・ネットワーク上のホストへの単純なアクセスではなく、ネットワーク・アクセスを持っていること。学生は、アクセスする前にプライベート証明書をインストールすること。サーバには、プライベート証明書 i がインストールされていること。

ある侵入テスト実施者が、新しいモバイル・バンキング・アプリケーションのトラフィックを検査するため、次のような ウェブ・リクエストを送信した：POST http://www.example.com/resources/NewBankAccount HTTP/1.1 Content-type: application/json { "account"：{ "creditAccount": "Credit Card Rewards account"}。{ "salesLeadRef": "www.example.com/badcontent/explogtme.exe"} ] "customer": "顧客"。], "customer"：顧客": [ { "name": "Joe Citizen"} { "custRef": "3153151"} } ]。銀行ウェブサイトは次のように応答する：HTTP/1.1 200 OK { "newAccountDetails"：[カード番号": "123412341234"}。

ある組織の1,000台のシステムの大部分に存在するアプリケーションは、バッファオーバーフロー攻撃に対して脆弱である。この問題を解決する最も包括的な方法はどれか。

ユーザーから、社内のデバイスから発信されたと思われる、名前や電話番号を含む、異常な自動電話の報告がありました。この問題に対処するために、システム管理者が行うべき最善策は次のうちどれでしょうか。

ネットワーク内の重要な機器に対する爆発が何度かあった。しかし、現在、脆弱性分析を実施するプロセスがない。重大な脅威と脆弱性を特定するために、セキュリティアナリストが本番運用時間中に実施すべきことはどれか。

ある企業が、特定のデバイスとさまざまな内部および外部サブネットの内部評価を実施することで、コストを削減することを決定した。アセスメントは通常の営業時間内に行われますが、本番サーバーに影響を及ぼしてはなりません。評価を完了するために使用される可能性が最も高いのは、次のうちどれですか。(2つ選択してください)