41 Interessante vrae oor toepassingsbeveiliging

Vrae oor toepassingsveiligheid

Ons sal dit bespreek Vrae oor toepassingsveiligheid/Onderhoudsvrae vir penetrasie toets wat bestaan ​​uit 'n lys met die meeste vrae vrae oor sekuriteit en ook bedek Onderhoudsvrae vir veiligheidsingenieur en vrae oor kuberveiligheid:

Kritiek || Toepassing sekuriteit onderhoud vrae

Majoor || Toepassing sekuriteit onderhoud vrae

Basies|| Toepassing sekuriteit onderhoud vrae

Toepassing Veiligheidsonderhoud Vrae
Toepassing Sekuriteit Onderhoud Vrae

Basisvlak -1 || Krities || Vrae oor toepassingsveiligheid

Hoe sal 'n HTTP-program die toestand hanteer?

HTTP is 'n staatlose protokol en gebruik koekies om die webtoepassingstoestand te hanteer. HTTP kan die webtoepassingstoestand hanteer in die onderstaande benaderings en hou sessie in stand:

Die data kan in koekies of in die webbediener se sessie gestoor word.

Wat verstaan ​​jy onder Cross Site Scripting of XSS?

Cross-site Scripting afgekort as XSS is 'n kliënt-kant kode-inspuiting kwessie waar die ongemagtigde gebruiker poog om kwaadwillige skrifte in gebruiker se webblaaier uit te voer deur kwaadwillige kode in 'n webtoepassing in te sluit en dus sodra die gebruiker daardie webtoepassing besoek, dan die kwaadwillige kode word uitgevoer wat daartoe lei dat die koekies, sessietokens saam met ander sensitiewe inligting in die gedrang kom.

Wat is die tipes XSS?

Daar is hoofsaaklik drie verskillende kategorieë van XSS:

Weerspieël XSS: In hierdie benadering word die kwaadwillige skrif nie in die databasis gestoor in geval van hierdie kwesbaarheid nie; dit kom eerder uit die huidige HTTP-versoek.

Opgebergde XSS: Die verdagte skrifte is in die databasis van die webtoepassing gestoor en kan van daar af geïnisieer word deur die betrokke persoon se optrede op verskeie maniere soos kommentaarveld of besprekingsforums, ens.

DOM XSS: In DOM (Document Object Model) XSS bestaan ​​die potensiële probleme binne die kliënt-kant kode in plaas van die bediener-kant kode. Hier in hierdie tipe vloei die kwaadwillige skrif in die blaaier en dien dit as 'n bronskrip in DOM.

Hierdie potensiële impak ontstaan ​​wanneer 'n kliënt-kant kode data van die DOM lees en hierdie data verwerk sonder om die insette te filter.

Wat is die owasp top 10 van 2021?

Noem die owesp risikogradering metodologie?

Die Owasp risikogradering metodologieë word in die verskillende lae geskei, soos:

Verduidelik hoe die tracert of tracerout werk?

Tracerout of tracert soos die naam aandui, monitor en ontleed basies die roete tussen gasheermasjien na afgeleë masjien. dit voer die volgende aktiwiteite uit:

Wat is ICMP?

ICMP staan ​​vir Internet Control Message Protocol, geleë op die netwerklaag van die OSI-model, en is 'n integrale deel van die TCP / IP.

Watter poort is vir ICMP of ping?

Ping benodig geen poort nie en gebruik ICMP. Dit word gebruik om te identifiseer of die afgeleë gasheer in 'n aktiewe status is of nie, en dit identifiseer ook die pakkieverlies en retoervertraging terwyl dit in die kommunikasie is.

Noem die lys uitdagings vir die suksesvolle ontplooiing en monitering van die opsporing van webindringing?

Noem die risiko wat onveilige HTTP-koekies met tokens behels?

Toegangsbeheerskending-impak word geaktiveer wanneer HTTP-koekies nie saam met veilige tokens gevlag word nie.

Noem die basiese ontwerp van OWASP ESAPI?

Die belangrikste OWASP ESAPI-ontwerp is:

Wat is poortskandering?

Skandering van die poorte om te ontdek dat daar 'n paar swak punte in die stelsel kan wees waarheen ongemagtigde gebruiker sekere kritieke en sensitiewe data-inligting kan teiken en trek.

Noem die verskillende tipes poortskanderings?

Wat is 'n heuningpot?

Die heuningpot is 'n rekenaarstelsel wat waarskynlike teikens van kuberkwessies naboots. Heuningpot word basies gebruik vir opsporing en defleksie kwesbaarheid van 'n wettige teiken.

Watter een bied sekuriteit onder Windows en Linux?

Beide van die OS het hul voor- en nadele. Tog, wat die sekuriteit betref, verkies die meeste van die gemeenskap om Linux te gebruik, aangesien dit meer buigsaamheid en sekuriteit bied in vergelyking met Windows, aangesien baie sekuriteitsnavorsers bygedra het tot die beveiliging van Linux.

Wat is meestal geïmplementeerde protokol op 'n aanmeldbladsy?

Die TLS/SSL-protokol word in meeste van die scenario's geïmplementeer terwyl data in transmissielae is. Dit moet gedoen word om die vertroulikheid en integriteit van gebruiker se kritieke en sensitiewe data te bereik deur enkripsie in die transmissielaag te gebruik.

Wat is publieke sleutel kriptografie?

Publieke sleutelkriptografie (PKC), ook bekend as asimmetriese kriptografie, is 'n kriptografieprotokol wat twee aparte stelle sleutels vereis, maw een privaat en 'n ander een is publiek vir data-enkripsie en -dekripsie.

Noem die verskil tussen private en publieke sleutel kriptografie terwyl die enkripsie en ondertekening inhoud uitgevoer word?

In die geval van digitale ondertekening gebruik die sender die private sleutel om die data te onderteken en aan die ander kant verifieer en valideer ontvanger die data met die publieke sleutel van die sender self.

In die enkripsie versleutelt die sender die data met die publieke sleutel van die ontvanger en die ontvanger dekripteer en valideer dit met behulp van sy / haar private sleutel.

Noem die belangrikste toepassing van die publiek-sleutel kriptografie?

Die belangrikste gebruiksgevalle van publieke sleutel kriptografie is:

Bespreek oor die uitvissing-kwessies?

In Phishing word die vals webblad bekendgestel om die gebruiker te mislei en te manipuleer om kritieke en sensitiewe inligting in te dien.

Watter benadering kan jy volg om die uitvissingpogings te verdedig?

Verifikasie en validering van XSS-kwesbaarhede en HTTP-verwyseropskrif is 'n paar versagtingsbenaderings teen die uitvissing.

Hoe om te verdedig teen veelvuldige aanmeldpogings?

Daar is verskillende benaderings om teen verskeie aanmeldpogings te verdedig, soos:

Wat is sekuriteitstoetsing?

Sekuriteitstoetsing is een van die belangrikste areas van toetsing om die moontlike kwesbaarhede in enige sagteware (enige stelsel of web of netwerk of mobiele of enige ander toestelle) gebaseerde toepassing te identifiseer en hul vertroulike en sensitiewe datastelle te beskerm teen potensiële risiko en indringers.

Wat is "kwesbaarheid"?

Antwoord: Kwesbaarheid word beskou as die swakheid/fout/fout in enige stelsel waardeur 'n ongemagtigde gebruiker die stelsel of die gebruiker wat die toepassing gebruik kan teiken.

Wat is indringingopsporing?

Antwoord: IDS of inbraakdetectiestelsel is sagteware of hardeware toepassing wat 'n netwerk monitor vir nie-goedgekeurde aktiwiteit of beleidsoortredings. Onder hierdie situasies word dit tipies gerapporteer en opgelos met behulp van sekuriteitsinligting en die onderskeie gebeurtenisbestuurstelsel.

Min inbreukopsporingstelsels is in staat genoeg om te reageer op die bespeurde indringing by die ontdekking, bekend as inbraakvoorkomingstelsels (IPS).

Basisvlak -2 || Majoor || Vrae oor toepassingsveiligheid

Wat is inbraakdetectiestelsel, tik:

Die IDS-opsporing is hoofsaaklik van die onderstaande tipes:

Daarmee saam is daar 'n subset van IDS-tipes, waaruit die belangrikste variante gebaseer is op anomalie-opsporing en handtekeningopsporing

Wat weet jy van OWASP?

OWASP staan ​​bekend as Open Web Application Security Project is 'n organisasie wat veilige sagteware-ontwikkeling ondersteun.

Watter potensiële probleme ontstaan ​​as die sessietokens onvoldoende ewekansigheid oor reekswaardes het?

Sessie peuter spruit uit die probleem met sessie tokens wat onvoldoende ewekansigheid binne 'n waardes van reeks het.

Wat is "SQL-inspuiting"?

Antwoord: SQL-inspuiting is een van die mees algemene tegnieke waarin 'n kode in die SQL-stellings ingespuit word via 'n webblad-invoer wat jou databasis kan vernietig en moontlik al die data van jou DB blootstel.

Wat verstaan ​​jy onder SSL-sessie en ook die SSL-verbindings?

Antwoord: SSL staan ​​bekend as Secured Socket Layer konneksie vestig die kommunikasie met peer-to-peer skakel met beide die verbinding onderhou SSL Sessie.

'N SSL-sessie verteenwoordig die veiligheidskontrak, wat in terme bestaan ​​uit sleutel- en algoritme-ooreenkomsinligting wat plaasvind oor 'n verbinding tussen 'n SSL-kliënt wat met SSL aan 'n SSL-bediener gekoppel is.

'N SSL-sessie word beheer deur sekuriteitsprotokolle wat die SSL-sessies-parameteronderhandelinge tussen 'n SSL-kliënt en SSL-bediener beheer.

Noem die twee standaardbenaderings wat gebruik word om beskerming aan 'n wagwoordlêer te verskaf?

Antwoord: Twee algemeen toegepaste benaderings vir wagwoordlêerbeskerming is

Wat is IPSEC?

Die IPSEC ook bekend as IP-sekuriteit is 'n Internet Engineering Task Force (IETF) standaard protokolle suite tussen die twee verskillende kommunikasie lae oor die IP netwerk. Dit verseker datastelintegriteit, verifikasie en ook die vertroulikheid. Dit genereer die geverifieerde datapakkies met enkripsie, dekripsie.

Wat is die OSI-model:

Die OSI-model, ook bekend as Open Systems Interconnection, is 'n model wat kommunikasie moontlik maak met behulp van standaardprotokolle met behulp van diverse kommunikasiestelsels. Die Internasionale Organisasie vir Standaardisering skep dit.

Wat is ISDN?

ISDN staan ​​vir Integrated Services Digital Network, 'n kringgeskakelde telefoonnetwerkstelsel. Dit bied pakketgeskakelde netwerktoegang wat die digitale oordrag van stem saam met data moontlik maak. Oor hierdie netwerk is die kwaliteit van data en stem baie beter as 'n analoog toestel/foon.

Wat is CHAP?

CHAP, ook na verwys as Challenge Handshake Authentication Protocol (CHAP) wat basies 'n P-2-P protokol (PPP) verifikasie protokol is waar die aanvanklike opstart van die skakel gebruik word. Dit voer ook 'n periodieke gesondheidsondersoek uit van die router wat met die gasheer kommunikeer.CHAP is ontwikkel deur IETF (Internet Engineering Task Force).

Wat is USM, en wat doen dit?

USM staan ​​vir die User-based Security Model, word gebruik deur System Management Agent vir dekripsie, enkripsie, dekripsie en verifikasie asook vir SNMPv3 pakkies.

Noem 'n paar faktore wat kwesbaarhede kan veroorsaak?

Antwoord: Die meeste gebiede wat die moontlike kwesbaarhede kan veroorsaak, is:

Noem die parameterlys om SSL-sessieverbinding te definieer?

Antwoord: Die eienskappe wat almal 'n SSL-sessieverbinding definieer, is:

Wat is lêeropsomming?

Antwoord: Dit is 'n tipe kwessies waar die kragtige blaai plaasvind deur die URL te manipuleer waar die ongemagtigde gebruiker die URL-parameters ontgin en sensitiewe data kry.

Wat is die voordele van inbraakdetectiestelsel?

Antwoord: Die indringingstelsel het die volgende voordele:

Basisvlak -3 || Basies || Vrae oor toepassingsveiligheid

Wat is gasheer-inbraakopsporingstelsel?

Die (HIDSs) gasheergebaseerde indringingsdeteksiestelsels (HIDS's) is toepassings wat werk op inligting wat van individuele rekenaarstelsels versamel word en dien op die bestaande stelsel en vergelyk met die vorige spieël / momentopname van die stelsel en valideer of daar enige dataverandering of manipulasie is gedoen is en genereer 'n waarskuwing gebaseer op die uitset.

Dit kan ook uitvind watter prosesse en gebruikers by kwaadwillige aktiwiteite betrokke is.

Wat is NNIDS?

NNIDS staan ​​vir Network Node Intrusion Detection System (NNIDS), wat lyk soos 'n NIDS, maar dit is slegs van toepassing op een gasheer op 'n enkele tydstip, nie op 'n hele subnet nie.

Noem drie indringers klasse?

Daar is verskillende soorte indringers, soos:

Noem die komponente wat in SSL gebruik word?

SSL vestig die veilige verbindings tussen die kliënte en bedieners.

Vrywaring: dit Vrae oor toepassingsveiligheid tutoriaalplasing is vir slegs opvoedkundige doel. Ons bevorder/ondersteun geen aktiwiteite wat verband hou met sekuriteitskwessies/gedrag nie. Individu is alleen verantwoordelik vir enige onwettige handeling indien enige.

Scroll na bo