41 Zajímavé otázky týkající se zabezpečení aplikace

Otázky týkající se zabezpečení aplikace

Budeme spolu diskutovat Otázky týkající se zabezpečení aplikace/Otázky k rozhovoru s penetračním testováním který se skládá ze seznamu nejčastěji kladených dotazů otázky týkající se bezpečnosti a také kryté Dotazy na rozhovor s bezpečnostním technikem a otázky ohledně kybernetické bezpečnosti:

Dotaz na bezpečnost aplikace
Dotaz na bezpečnost aplikace

Kritické || Otázky týkající se zabezpečení aplikace

Major || Otázky týkající se zabezpečení aplikace

Základní || Otázky týkající se zabezpečení aplikace

Základní úroveň -1 || Kritické || Otázky týkající se zabezpečení aplikace

Jak by program HTTP zvládl stav?

HTTP, který je bezstavovým protokolem, používá ke zpracování stavu webové aplikace soubory cookie. HTTP dokáže zpracovat stav webové aplikace v níže uvedených přístupech a udržuje relaci:

  • Na straně klienta
  • Na straně serveru.

Data mohou být uložena v cookies nebo v relaci webového serveru.

Co chápete pod Cross Site Scripting nebo XSS?

Cross-site Scripting zkráceně XSS je problém s vložením kódu na straně klienta, kde si neautorizovaný uživatel klade za cíl spouštět škodlivé skripty ve webovém prohlížeči uživatele začleněním škodlivého kódu do webové aplikace, a tedy jakmile uživatel tuto webovou aplikaci navštíví, pak škodlivý kód se provede, což má za následek kompromitování cookies, tokenů relace a dalších citlivých informací.

Jaké jsou typy XSS?

Existují hlavně tři různé kategorie XSS:

Odráží XSS: V tomto přístupu není škodlivý skript v případě této chyby zabezpečení uložen v databázi; místo toho pochází z aktuálního požadavku HTTP.

Uložené XSS: Podezřelé skripty byly uloženy v databázi webové aplikace a odtud je lze iniciovat akcí dotčené osoby několika způsoby, například komentářem nebo diskusními fóry atd.

DOM XSS: V modelu DOM (Document Object Model) XSS existují potenciální problémy v rámci kódu na straně klienta místo kódu na straně serveru. Tady v tomto typu škodlivý skript proudí v prohlížeči a funguje jako zdrojový skript v DOM.

Tento potenciální dopad nastává, když kód na straně klienta čte data z DOM a zpracovává tato data bez filtrování vstupu.

Jaké jsou top 10 owasp z roku 2021?

  • Injekce
  • Zlomené ověřování
  • Citlivá expozice dat
  • Externí entity XML (XXE)
  • Zlomená kontrola přístupu
  • Chybné konfigurace zabezpečení
  • Cross-Site Scripting (XSS)
  • Nejistá deserializace
  • Používání komponent se známými chybami zabezpečení
  • Nedostatečné protokolování a monitorování

Zmíňte metodiku hodnocení rizik owasp?

Metodiky hodnocení rizik Owasp jsou rozděleny do různých vrstev, například:

  • Vrstva Identifikace systémových rizik
  • Odhad zdroje mechanismu rizika
  • Odhad a analýza dopadů
  • Stanovení závažnosti rizika.
  • Techniky snižování rizik.

Vysvětlete, jak funguje tracert nebo tracerout?

Tracerout nebo tracert, jak název napovídá, v zásadě sleduje a analyzuje cestu mezi hostitelským počítačem a vzdáleným počítačem. vykonává níže uvedené činnosti:

  • Monitoruje a identifikuje datové pakety jsou přesměrovány nebo ne.
  • Analyzujte rychlost procházení datových paketů.
  • Analyzujte čísla chmele, která se používají při procházení datových paketů za do hostitelských a vzdálených počítačů

Co je ICMP?

ICMP znamená Internet Control Message Protocol, který se nachází na síťové vrstvě modelu OSI, a je nedílnou součástí TCP / IP.

Který port je pro ICMP nebo ping?

Ping nevyžaduje žádný port a používá ICMP. Používá se k identifikaci, zda je vzdálený hostitel v aktivním stavu nebo ne, a také k identifikaci ztráty paketů a zpoždění zpáteční cesty během komunikace.

Uveďte seznam výzev pro úspěšné nasazení a monitorování detekce narušení webu?

  • Omezení pro NIDS pro monitorování webu, tj. (Sémantické problémy při porozumění protokolu HTTP, SSL)
  • Výzvy při protokolování reálnosti protokolování (Mod_Security audit_log)
  • Centralizované vzdálené protokolování
  • Výstražné mechanismy
  • Zatímco aktualizace podpisů / zásad

Uveďte riziko, které představuje nezabezpečené soubory cookie HTTP s tokeny?

Dopad narušení kontroly přístupu se spustí, když neoznačíte soubory cookie HTTP spolu se zabezpečenými tokeny.

Uveďte základní design OWASP ESAPI?

Hlavní design OWASP ESAPI jsou:

  • Skupina rozhraní pro řízení zabezpečení
  • Referenční implementace pro každou kontrolu zabezpečení.
  • Možnost implementace pro každou organizaci aplikovanou na každou kontrolu zabezpečení.

Co je skenování portů?

Skenování portů, aby se zjistilo, že v systému mohou existovat slabá místa, na která může neoprávněný uživatel cílit a vytáhnout některé důležité a citlivé údaje.

Zmínit různé typy skenování portů?

  • Strobe: Stroboskopické skenování se v zásadě provádí u známých služeb.
  • UDP: Zde, v tomto případě, skenování otevřených portů UDP
  • Vanilka: U tohoto typu skenování skener iniciuje připojení ke všem dostupným 65,535 XNUMX portům.
  • Zametat: U tohoto typu skenování zahájí skener připojení ke stejnému portu na více počítačích.
  • Fragmentované balíčky: U tohoto typu skenování se samotný skener stará o odesílání fragmentů paketů, které procházejí jednoduchými filtry paketů ve firewallu.
  • Stealth skenování: V tomto typu přístupu ke skenování skener blokuje skenovaným strojům záznam aktivit skenování portů.
  • Bounce FTP: U tohoto typu skenování skener směruje přes server FTP k identifikaci zdroje skenování.

Co je to honeypot?

Honeypot je počítačový systém, který napodobuje pravděpodobné cíle kybernetických problémů. Honeypot se v zásadě používá k detekci a odklonění zranitelnosti od legitimního cíle.

Který z nich poskytuje zabezpečení mezi Windows a Linux?

Oba OS mají své klady a zápory. Přesto, pokud jde o zabezpečení, většina komunity dává přednost používání Linuxu, protože poskytuje větší flexibilitu a zabezpečení ve srovnání s Windows, vzhledem k tomu, že mnoho bezpečnostních výzkumníků přispělo k zabezpečení Linuxu.

Který je většinou implementován protokol na přihlašovací stránce?

Protokol TLS / SSL je implementován ve většině scénářů, zatímco jsou data v přenosových vrstvách. Toho je třeba dosáhnout k dosažení důvěrnosti a integrity důležitých a citlivých dat uživatele pomocí šifrování v přenosové vrstvě.

Co je to kryptografie veřejného klíče?

Kryptografie veřejného klíče (PKC), známá také jako asymetrická kryptografie, je kryptografický protokol, který vyžaduje dvě samostatné sady klíčů, tj. Jednu soukromou a druhou veřejnou pro šifrování a dešifrování dat.

Uveďte rozdíl mezi soukromou a veřejnou kryptografií při provádění šifrování a podepisování obsahu?

V případě digitálního podepisování odesílatel používá k podpisu dat soukromý klíč a na druhé straně přijímač ověří a ověří data veřejným klíčem samotného odesílatele.

Během šifrování odesílatel zašifruje data veřejným klíčem příjemce a příjemce ho dešifruje a ověří pomocí svého soukromého klíče.

Zmínit hlavní použití kryptografie veřejného klíče?

Hlavní případy použití kryptografie veřejného klíče jsou:

  • Digitální podepisování - obsah je digitálně podepsán.
  • Šifrování - šifrování obsahu pomocí veřejného klíče.

Diskutovat o problémech phishingu?

V phishingu se zavádí falešná webová stránka, která má uživatele oklamat a manipulovat s ním, aby odeslal důležité a citlivé informace.

Jakým způsobem můžete bránit pokusy o phishing?

Ověření a ověření zranitelnosti XSS a záhlaví refereru HTTP jsou některé způsoby zmírnění proti phishingu.

Jak se bránit proti několika pokusům o přihlášení?

Existují různé přístupy k obraně proti několika pokusům o přihlášení, například:

  • Vytvoření zásady uzamčení účtu na základě několika pokusů a pokusů o přístup k účtu.
  • Implementace funkcí založená na Captcha na přihlašovací stránce k identifikaci a rozlišení mezi člověkem nebo BOT.

Co je testování zabezpečení?

Testování zabezpečení je jednou z hlavních důležitých oblastí testování k identifikaci možných zranitelností v jakékoli aplikaci založené na jakémkoli softwaru (jakýkoli systém nebo web nebo síť nebo mobilní nebo jiná zařízení) a chrání jejich důvěrné a citlivé soubory dat před potenciálním rizikem a vetřelci.

Co je to „Zranitelnost“?

Odpověď: Zranitelnost je považována za slabost / chybu / chybu v jakémkoli systému, jehož prostřednictvím může neautorizovaný uživatel cílit na systém nebo na uživatele, který aplikaci používá.

Co je detekce narušení?

Odpověď: IDS nebo systém detekce narušení je softwarová nebo hardwarová aplikace, která monitoruje síť kvůli neschválené činnosti nebo porušení zásad. V této situaci se obvykle hlásí a řeší pomocí bezpečnostních informací a příslušného systému správy událostí.

Několik systémů detekce narušení je dostatečně schopných reagovat na zjištěné narušení při objevení, známé jako systémy prevence narušení (IPS).

Základní úroveň -2 || Major || Otázky týkající se zabezpečení aplikace

Co jsou systémy detekce narušení, zadejte:

Detekce IDS hlavně následujících typů:

  • Systémy detekce vniknutí do sítě (NIDS): Systém monitoruje a analyzuje příchozí síťový provoz.
  • Hostitelské systémy detekce narušení (HIDS): Tento typ systému sleduje soubory operačního systému.

Spolu s nimi existuje podmnožina typů IDS, z nichž hlavní varianty jsou založeny na detekci anomálií a detekci podpisů

  • Na základě podpisu: Tento typ detekčního systému sleduje a identifikuje potenciální problémy analýzou konkrétních vzorů, jako jsou bajtové sekvence síťového provozu, známé sekvence škodlivých aktivit.
  • Na základě anomálií: Tento druh modelu je založen na přístupu strojového učení k detekci a přizpůsobení neznámým problémům, primárně k vytvoření algoritmického modelu důvěryhodnosti a následnému porovnání nového škodlivého chování s tímto modelem důvěryhodnosti.

Co víš o OWASPu?

OWASP je známý jako Open Web Application Security Project je organizace, která podporuje bezpečný vývoj softwaru.

Jaké potenciální problémy nastanou, pokud tokeny relace nemají dostatečnou náhodnost napříč hodnotami rozsahu?

Manipulace s relací vzniká z problému s tokeny relace, které mají nedostatečnou náhodnost v hodnotách rozsahu.

Co je „SQL Injection“?

Odpověď: Injekce SQL je jednou z nejběžnějších technik, při které se do příkazů SQL vkládá kód prostřednictvím vstupu na webové stránce, který by mohl zničit vaši databázi a potenciálně vystavit všechna data z vaší databáze.

Co chápete podle relace SSL a také připojení SSL?

Odpověď: SSL je známé jako připojení zabezpečené soketové vrstvy navazuje komunikaci s peer-to-peer linkem, přičemž obě připojení udržují relaci SSL.

Relace SSL představuje smlouvu o zabezpečení, která ve smyslu sestává z informací o dohodě klíče a algoritmu, ke kterému dochází při připojení mezi klientem SSL připojeným k serveru SSL pomocí SSL.

Relace SSL se řídí bezpečnostními protokoly, které řídí vyjednávání parametrů relací SSL mezi klientem SSL a serverem SSL.

Pojmenujte dva standardní přístupy, které se používají k zajištění ochrany souboru hesla?

Odpověď: Dva zásadně používané přístupy k ochraně souborů hesel jsou

  • Hash hesla
  • Hodnota soli nebo řízení přístupu k souborům s heslem.

Co je IPSEC?

IPSEC známý také jako zabezpečení IP je sada protokolů IETF (Internet Engineering Task Force) mezi dvěma různými komunikačními vrstvami v síti IP. Zajišťuje integritu datové sady, autentizaci a také důvěrnost. Generuje ověřené datové pakety šifrováním a dešifrováním.

Co je model OSI:

Model OSI, známý také jako Open Systems Interconnection, je model, který umožňuje komunikaci pomocí standardních protokolů pomocí různých komunikačních systémů. Vytváří jej Mezinárodní organizace pro normalizaci.

Co je ISDN?

ISDN je zkratka pro Integrated Services Digital Network, systém telefonní sítě s přepojováním okruhů. Poskytuje přístup k sítím s přepojováním paketů, který umožňuje digitální přenos hlasu spolu s daty. V této síti je kvalita dat a hlasu mnohem lepší než u analogového zařízení / telefonu.

Co je CHAP?

CHAP, také označovaný jako Challenge Handshake Authentication Protocol (CHAP), což je v zásadě ověřovací protokol protokolu P-2-P (PPP), kde se používá počáteční spuštění odkazu. Rovněž provádí pravidelnou kontrolu stavu routeru komunikujícího s hostitelem. CHAP je vyvíjen IETF (Internet Engineering Task Force).

Co je USM a co provádí?

USM znamená User-based Security Model, používá jej System Management Agent k dešifrování, šifrování, dešifrování a ověřování stejně pro SNMPv3 pakety.

Uveďte některé faktory, které mohou způsobit chyby zabezpečení?

Odpověď: Většina oblastí, které by mohly způsobit potenciální zranitelnost, jsou:

  • Citlivé vystavení dat: Pokud jsou některá citlivá data nebo hesla vystavena nebo sledována neoprávněným uživatelem, stane se systém zranitelným.
  • Návrhové chyby: Mohly by být zacíleny na všechny nedostatky, pokud by v systému byly nějaké smyčky.
  • Složitost: Složité aplikace mohou obsahovat oblasti, které se mohou stát zranitelnými.
  • Lidská chyba: Je to jeden ze zdrojů zranitelnosti zabezpečení kvůli mnoha faktorům, jako je únik dat atd.

Chcete-li definovat připojení relace SSL, uveďte seznam parametrů?

Odpověď: Atributy, které všechny definují připojení relace SSL, jsou:

  • Server a klient náhodně
  • Server zapisuje MACsecret
  • Klient zapíše MACsecret
  • Klíč pro zápis na server
  • Klíč pro zápis klienta
  • Inicializační vektory
  • Pořadová čísla

Co je výčet souborů?

Odpověď: Jde o typ problémů, kde dochází k násilnému procházení manipulací s adresou URL, kde neautorizovaný uživatel využívá parametry adresy URL a získává citlivá data.

Jaké jsou výhody systému detekce narušení?

Odpověď: Systém detekce narušení má následující výhody:

  • Detekce narušení sítě (NIDS)
  • Systém detekce narušení síťových uzlů (NNIDS)
  • Systémy detekce vniknutí do hostitele (HID)

Základní úroveň -3 || Základní || Otázky týkající se zabezpečení aplikace

Co je systém detekce narušení hostitele?

Hostitelské systémy detekce narušení založené na hostiteli (HIDS) jsou aplikace, které fungují na informacích shromážděných z jednotlivých počítačových systémů a slouží na existujícím systému a porovnávají se s předchozím zrcadlem / snímkem systému a ověřují, zda dochází k jakékoli úpravě dat nebo manipulaci bylo provedeno a na základě výstupu generuje upozornění.

Může také zjistit, které procesy a uživatelé jsou zapojeni do škodlivých aktivit.

Co je NNIDS?

NNIDS znamená Network Node Intrusion Detection System (NNIDS), který je jako NIDS, ale je použitelný pouze pro jednoho hostitele v jednom okamžiku, ne pro celou podsíť.

Uveďte tři vetřelce třídy?

Existují různé typy vetřelců, například:

  • Masquerader: Tento typ vetřelce je obecně neoprávněná osoba v počítači, která se zaměřuje na řízení přístupu do systému a získává přístup k účtům ověřených uživatelů.
  • Misfeasor: Tento uživatel je ověřený uživatel, který má oprávnění používat systémové prostředky, ale hodlá zneužít stejný přístup do systému pro jiné operace.
  • Tajný: U tohoto typu uživatelů lze definovat jako jednotlivce, který cílí na řídicí systém pomocí obejití bezpečnostního systému systému.

Uveďte komponenty, které se používají v SSL?

SSL navazuje zabezpečené připojení mezi klienty a servery.

  • Komponenty používané v SSL:
  • Protokol zaznamenaný SSL
  • Protokol handshake
  • Šifrovací specifikace
  • Šifrovací algoritmy

Disclaimer: Tento Otázky týkající se zabezpečení aplikace tutorial post je pro pouze vzdělávací účel. Nepropagujeme / nepodporujeme žádnou činnost související s bezpečnostními problémy / chováním. Za případné protiprávní jednání, pokud existuje, nese výhradní odpovědnost jednotlivec.

O Debarghyovi

41 Zajímavé otázky týkající se zabezpečení aplikaceSám Debarghya Roy, jsem Engineering ARCHITECT spolupracující se společností fortune 5 a otevřeným přispěvatelem, který má přibližně 12 let zkušeností / odborných znalostí v různých technologických zásobnících.
Pracoval jsem s různými technologiemi jako Java, C #, Python, Groovy, UI Automation (Selenium), Mobile Automation (Appium), API / Backend Automation, Performance Engineering (JMeter, Locust), Security Automation (MobSF, OwAsp, Kali Linux , Astra, ZAP atd.), RPA, Process Engineering Automation, Mainframe Automation, Back End Development with SpringBoot, Kafka, Redis, RabitMQ, ELK stack, GrayLog, Jenkins and also having experience in Cloud Technologies, DevOps etc.
Žiji v Bangalore v Indii se svou ženou a věnuji se blogování, hudbě, hře na kytaru a mojí životní filozofií je Vzdělání pro všechny, které zrodilo LambdaGeeks. Umožňuje připojení prostřednictvím propojeného - https://www.linkedin.com/in/debarghya-roy/

en English
X