41 Հետաքրքիր կիրառական անվտանգության հարցազրույցի հարցեր

Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Մենք կքննարկենք շուրջը Դիմումի անվտանգության հետ հարցազրույցի հարցեր/Ներթափանցման թեստավորման հարցազրույցի հարցեր որը բաղկացած է ամենահաճախ հարցվողների ցանկից անվտանգության վերաբերյալ հարցեր և նաև ծածկված Անվտանգության ինժեների հարցազրույցի հարցեր և կիբերանվտանգության հարցազրույցի հարցեր.

Դիմումի անվտանգության հարցազրույցի հարցեր
Դիմումի անվտանգության հարցազրույցի հարցեր

Կրիտիկական || Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Մայոր || Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Հիմնական|| Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Հիմնական մակարդակ -1 || Կրիտիկական || Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Ինչպե՞ս կվարվեր HTTP ծրագիրը։

HTTP-ը, լինելով քաղաքացիություն չունեցող արձանագրություն, օգտագործում է թխուկներ՝ վեբ հավելվածի վիճակը կարգավորելու համար:

Տվյալները կարող են պահվել քուքիներում կամ վեբ սերվերի աշխատաշրջանում:

Ի՞նչ եք հասկանում Cross Site Scripting-ից կամ XSS-ից:

Cross-site Scripting-ը, որը կրճատվել է որպես XSS, հաճախորդի կողմից կոդի ներարկման խնդիր է, որտեղ չլիազորված օգտվողը նպատակ ունի չարամիտ սկրիպտներ գործարկել օգտատիրոջ վեբ բրաուզերում՝ ներառելով վնասակար կոդ վեբ հավելվածում և, հետևաբար, երբ օգտատերը այցելում է այդ վեբ հավելվածը, այնուհետև չարամիտը: կոդը գործարկվում է, ինչի հետևանքով թխուկները, նիստի նշանները և այլ զգայուն տեղեկատվությունը վտանգի են ենթարկվում:

Որո՞նք են XSS-ի տեսակները:

Հիմնականում կան XSS-ի երեք տարբեր կատեգորիաներ.

Արտացոլված XSS: Այս մոտեցման դեպքում վնասակար սկրիպտը չի պահվում տվյալների բազայում այս խոցելիության դեպքում. փոխարենը, այն գալիս է ընթացիկ HTTP հարցումից:

Պահված XSS: Կասկածելի սկրիպտները պահվել են վեբ հավելվածի տվյալների բազայում և կարող են սկսվել այնտեղից ազդեցության ենթարկված անձի գործողություններով մի քանի եղանակներով, ինչպիսիք են մեկնաբանությունների դաշտը կամ քննարկման ֆորումները և այլն:

DOM XSS: DOM-ում (փաստաթղթի օբյեկտի մոդել) XSS-ում հնարավոր խնդիրները սերվերի կողմի կոդի փոխարեն առկա են հաճախորդի կողմից: Այստեղ այս տեսակի մեջ վնասակար սկրիպտը հոսում է զննարկիչում և գործում է որպես աղբյուրի սկրիպտ DOM-ում:

Այս պոտենցիալ ազդեցությունն առաջանում է, երբ հաճախորդի կողմի կոդը կարդում է տվյալները DOM-ից և մշակում այդ տվյալները՝ առանց մուտքագրումը զտելու:

Որո՞նք են 10 թվականի owasp լավագույն 2021-ը:

Նշեք owasp ռիսկի գնահատման մեթոդաբանությունը:

Owasp ռիսկի գնահատման մեթոդոլոգիաները տարանջատված են տարբեր շերտերում, ինչպիսիք են.

Բացատրեք, թե ինչպես է գործում թրեյսերտը կամ հետագծումը:

Tracerout կամ tracert, ինչպես անունն է հուշում, հիմնականում վերահսկում և վերլուծում է երթուղին հյուրընկալող մեքենայի միջև հեռավոր մեքենա: այն իրականացնում է հետևյալ գործողությունները.

Ի՞նչ է ICMP-ը:

ICMP նշանակում է Internet Control Message Protocol, որը գտնվում է OSI մոդելի ցանցային շերտում և հանդիսանում է TCP/IP-ի անբաժանելի մասը:

Ո՞ր պորտն է նախատեսված ICMP-ի կամ պինգինգի համար:

Ping-ը ոչ մի պորտ չի պահանջում և օգտագործում է ICMP: Այն օգտագործվում է պարզելու համար, թե արդյոք հեռավոր հոսթը գտնվում է ակտիվ կարգավիճակում, թե ոչ, ինչպես նաև այն նույնացնում է փաթեթի կորուստը և հետադարձ կապի հետաձգումը:

Նշեք մարտահրավերների ցանկը հաջող տեղակայման և վեբ ներխուժման հայտնաբերման մոնիտորինգի համար:

Նշե՞ք այն ռիսկը, որը ներառում է անապահով HTTP թխուկներ նշաններով:

Մուտքի վերահսկման խախտման ազդեցությունն առաջանում է, երբ HTTP թխուկները չպիտակավորվեն անվտանգ թոքենների հետ միասին:

Նշեք OWASP ESAPI-ի հիմնական դիզայնը:

OWASP ESAPI-ի հիմնական դիզայնն են.

Ի՞նչ է պորտի սկանավորումը:

Նավահանգիստների սկանավորում՝ պարզելու, որ համակարգում կարող են լինել որոշ թույլ կետեր, որոնց վրա չարտոնված օգտվողները կարող են թիրախավորել և քաշել որոշ կարևոր և զգայուն տվյալների մասին տեղեկատվություն:

Նշեք նավահանգիստների սկանավորման տարբեր տեսակները:

Ինչ է honeypot-ը:

Honeypot-ը համակարգչային համակարգ է, որը նմանակում է կիբեր խնդիրների հավանական թիրախներին: Honeypot-ը հիմնականում օգտագործվում է օրինական թիրախից խոցելիությունը հայտնաբերելու և շեղելու համար:

Windows-ի և Linux-ի մեջ ո՞րն է ապահովում անվտանգությունը:

Երկու OS-ն էլ ունեն իրենց դրական և բացասական կողմերը: Այնուամենայնիվ, ինչ վերաբերում է անվտանգությանը, համայնքի մեծ մասը նախընտրում է օգտագործել Linux-ը, քանի որ այն ավելի շատ ճկունություն և անվտանգություն է ապահովում Windows-ի համեմատ՝ հաշվի առնելով, որ անվտանգության շատ հետազոտողներ նպաստել են Linux-ի ապահովմանը:

Ո՞ր արձանագրությունն է հիմնականում իրականացվում մուտքի էջում:

TLS/SSL արձանագրությունն իրականացվում է սցենարների մեծ մասում, մինչդեռ տվյալները փոխանցման շերտերում են: Սա պետք է արվի օգտվողի կարևոր և զգայուն տվյալների գաղտնիության և ամբողջականության հասնելու համար՝ օգտագործելով գաղտնագրումը փոխանցման շերտում:

Ի՞նչ է հանրային բանալիների գաղտնագրությունը:

Հանրային բանալի կրիպտոգրաֆիան (PKC), որը նաև հայտնի է որպես ասիմետրիկ կրիպտոգրաֆիա, ծածկագրման արձանագրություն է, որը պահանջում է բանալիների երկու առանձին հավաքածու, այսինքն՝ մեկը մասնավոր, իսկ մյուսը հանրային՝ տվյալների կոդավորման և վերծանման համար:

Նշեք տարբերությունը մասնավոր և հանրային բանալիների գաղտնագրության միջև գաղտնագրման և ստորագրման բովանդակությունը կատարելիս:

Թվային ստորագրման դեպքում ուղարկողը օգտագործում է անձնական բանալի տվյալները ստորագրելու համար, իսկ մյուս կողմից ստացողը ստուգում և վավերացնում է տվյալները հենց ուղարկողի հանրային բանալիով:

Գաղտնագրման ընթացքում ուղարկողը գաղտնագրում է տվյալները ստացողի և ստացողի գաղտնազերծման հանրային բանալիով և վավերացնում դրանք՝ օգտագործելով իր անձնական բանալիը:

Նշեք հանրային բանալիների ծածկագրման հիմնական կիրառությունը:

Հանրային բանալիների գաղտնագրության օգտագործման հիմնական դեպքերն են.

Քննարկե՞լ ֆիշինգի խնդիրները:

Ֆիշինգում կեղծ վեբ էջը ներկայացվում է օգտատիրոջը խաբելու և մանիպուլյացիայի ենթարկելու համար, որպեսզի նա ներկայացնի կարևոր և զգայուն տեղեկատվություն:

Ի՞նչ մոտեցում կարող եք ձեռնարկել ֆիշինգի փորձերը պաշտպանելու համար:

XSS-ի խոցելիության ստուգումն ու վավերացումը, ինչպես նաև HTTP ուղղորդիչի վերնագիրը ֆիշինգի դեմ մեղմացնող որոշ մոտեցումներ են:

Ինչպե՞ս պաշտպանվել մուտքի բազմաթիվ փորձերից:

Գոյություն ունեն մուտքի մի քանի փորձերից պաշտպանվելու տարբեր մոտեցումներ, ինչպիսիք են՝

Ի՞նչ է անվտանգության թեստավորումը:

Անվտանգության թեստավորումը թեստավորման հիմնական կարևոր ոլորտներից մեկն է՝ բացահայտելու հնարավոր խոցելիությունները ցանկացած ծրագրաշարում (ցանկացած համակարգ կամ վեբ կամ ցանց, բջջային կամ որևէ այլ սարք) հիմնված հավելվածում և պաշտպանելու դրանց գաղտնի և զգայուն տվյալների հավաքածուն հնարավոր ռիսկերից և ներխուժողներից:

Ի՞նչ է «խոցելիությունը»:

Պատասխան. Խոցելիությունը դիտվում է որպես թուլություն/սխալ/թերություն ցանկացած համակարգում, որի միջոցով չարտոնված օգտվողը կարող է թիրախավորել համակարգը կամ հավելվածն օգտագործող օգտատերը:

Ի՞նչ է ներխուժման հայտնաբերումը:

Պատասխան. IDS-ն կամ ներխուժման հայտնաբերման համակարգը ծրագրային կամ ապարատային ծրագիր է, որը վերահսկում է ցանցը չհաստատված գործունեության կամ քաղաքականության խախտումների համար: Այս իրավիճակներում այն ​​սովորաբար հաղորդվում և լուծվում է անվտանգության տեղեկատվության և համապատասխան իրադարձությունների կառավարման համակարգի միջոցով:

Ներխուժման հայտնաբերման մի քանի համակարգեր կարող են բավականաչափ արձագանքել հայտնաբերված ներխուժմանը, որը հայտնի է որպես ներխուժման կանխարգելման համակարգեր (IPS):

Հիմնական մակարդակ -2 || Մայոր || Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Որոնք են ներխուժման հայտնաբերման համակարգը, տեսակը.

IDS-ի հայտնաբերումը հիմնականում հետևյալ տեսակներից է.

Դրանց հետ մեկտեղ կա IDS տեսակների ենթաբազմություն, որոնցից հիմնական տարբերակները հիմնված են անոմալիաների հայտնաբերման և ստորագրության հայտնաբերման վրա:

Ի՞նչ գիտեք OWASP-ի մասին:

OWASP-ը հայտնի է որպես Open Web Application Security Project-ը կազմակերպություն է, որն աջակցում է ապահով ծրագրային ապահովման մշակմանը:

Ի՞նչ պոտենցիալ խնդիրներ են առաջանում, եթե սեսիայի նշաններն ունեն անբավարար պատահականություն միջակայքի արժեքների միջև:

Աշխատաշրջանի կեղծումը ծագում է այն պատճառով, որ սեսիայի նշաններն ունեն անբավարար պատահականություն միջակայքի արժեքներում:

Ի՞նչ է «SQL Injection»-ը:

Պատասխան. SQL ներարկումը ամենատարածված մեթոդներից մեկն է, երբ ծածկագիրը ներարկվում է SQL հայտարարություններում վեբ էջի մուտքագրման միջոցով, որը կարող է ոչնչացնել ձեր տվյալների բազան և պոտենցիալ բացահայտել ձեր DB-ի բոլոր տվյալները:

Ի՞նչ եք հասկանում SSL նստաշրջանից և նաև SSL կապերից:

Պատասխան. SSL-ը հայտնի է որպես Secured Socket Layer միացում, որը կապ է հաստատում peer-to-peer կապի հետ, ունենալով երկուսն էլ կապը պահպանում է SSL Session-ը:

SSL նիստը ներկայացնում է անվտանգության պայմանագիրը, որն առումներով բաղկացած է հիմնական և ալգորիթմային համաձայնագրի տեղեկատվությունից, որը տեղի է ունենում SSL հաճախորդի միջև, որը միացված է SSL սերվերին, օգտագործելով SSL:

SSL նիստը կառավարվում է անվտանգության արձանագրություններով, որոնք վերահսկում են SSL նիստերի պարամետրի բանակցությունները SSL հաճախորդի և SSL սերվերի միջև:

Անվանե՛ք երկու ստանդարտ մոտեցումները, որոնք օգտագործվում են գաղտնաբառի ֆայլը պաշտպանելու համար:

Պատասխան. Գաղտնաբառով ֆայլերի պաշտպանության երկու հիմնական մոտեցումներ են

Ի՞նչ է IPSEC-ը:

IPSEC-ը, որը նաև հայտնի է որպես IP անվտանգություն, Ինտերնետ ինժեներական աշխատանքային խմբի (IETF) ստանդարտ արձանագրությունների փաթեթ է IP ցանցի երկու տարբեր հաղորդակցման շերտերի միջև: Այն ապահովում է տվյալների ամբողջականությունը, իսկությունը և նաև գաղտնիությունը: Այն ստեղծում է վավերացված տվյալների փաթեթներ կոդավորման, ապակոդավորման միջոցով:

Ինչ է OSI մոդելը.

OSI մոդելը, որը նաև հայտնի է որպես բաց համակարգերի փոխկապակցում, մի մոդել է, որը հնարավորություն է տալիս հաղորդակցվել ստանդարտ արձանագրությունների միջոցով տարբեր կապի համակարգերի օգնությամբ: Ստանդարտացման միջազգային կազմակերպությունը ստեղծում է այն։

Ի՞նչ է ISDN-ը:

ISDN-ն նշանակում է Ինտեգրված ծառայությունների թվային ցանց՝ միացումով անջատվող հեռախոսային ցանցի համակարգ: Այն ապահովում է փաթեթային միացվող ցանցերի հասանելիություն, որը թույլ է տալիս ձայնի թվային փոխանցումը տվյալների հետ միասին: Այս ցանցում տվյալների և ձայնի որակը շատ ավելի լավ է, քան անալոգային սարքը/հեռախոսը:

Ի՞նչ է CHAP-ը:

CHAP, որը նաև կոչվում է Challenge Handshake Authentication Protocol (CHAP), որը հիմնականում P-2-P արձանագրության (PPP) վավերացման արձանագրություն է, որտեղ օգտագործվում է հղման սկզբնական գործարկումը: Նաև այն պարբերաբար ստուգում է երթուղիչի առողջական վիճակը, որը շփվում է հյուրընկալողի հետ:CHAP-ը մշակվել է IETF-ի (Internet Engineering Task Force) կողմից:

Ի՞նչ է USM-ը և ի՞նչ է այն կատարում:

USM-ը նշանակում է Օգտատիրոջ վրա հիմնված անվտանգության մոդել, որն օգտագործվում է System Management Agent-ի կողմից ապակոդավորման համար, Encryption, գաղտնազերծում և նույնականացում ինչպես նաև SNMPv3 փաթեթներ

Նշեք որոշ գործոններ, որոնք կարող են խոցելիություն առաջացնել:

Պատասխան. Տարածքների մեծ մասը, որոնք կարող են առաջացնել պոտենցիալ խոցելիություն, հետևյալն են.

Նշե՞լ պարամետրերի ցանկը՝ SSL նստաշրջանի կապը սահմանելու համար:

Պատասխան. Այն հատկանիշները, որոնք բոլորը սահմանում են SSL նստաշրջանի կապը, հետևյալն են.

Ի՞նչ է ֆայլերի թվարկումը:

Պատասխան. Խնդիրների մի տեսակ է, որտեղ բռնի զննարկումը տեղի է ունենում URL-ի մանիպուլյացիայի միջոցով, որտեղ չարտոնված օգտվողը շահագործում է URL-ի պարամետրերը և ստանում զգայուն տվյալներ:

Որո՞նք են ներխուժման հայտնաբերման համակարգի առավելությունները:

Պատասխան. Ներխուժման հայտնաբերման համակարգն ունի հետևյալ առավելությունները.

Հիմնական մակարդակ -3 || Հիմնական|| Դիմումի անվտանգության հետ հարցազրույցի հարցեր

Ի՞նչ է հյուրընկալող ներխուժման հայտնաբերման համակարգը:

Ներխուժման հայտնաբերման համակարգերը (HIDS) հոսթինգի վրա հիմնված հավելվածներ են, որոնք գործում են առանձին համակարգչային համակարգերից հավաքված տեղեկատվության հիման վրա և ծառայում են գոյություն ունեցող համակարգին և համեմատվում են համակարգի նախորդ հայելիի/պատկերի հետ և հաստատում են արդյոք տվյալների որևէ փոփոխություն կամ մանիպուլյացիա: կատարվել է և ելքի հիման վրա առաջացնում է ահազանգ:

Այն կարող է նաև պարզել, թե որ գործընթացներն ու օգտատերերն են ներգրավված վնասակար գործողությունների մեջ:

Ի՞նչ է NNIDS-ը:

NNIDS-ը նշանակում է Network Node Intrusion Detection System (NNIDS), որը նման է NIDS-ի, բայց այն կիրառելի է միայն մեկ հոսթի համար մեկ ժամանակի մեկ կետում, ոչ թե ամբողջ ենթացանցում:

Նշեք երեք ներխուժողների դասեր?

Կան ներխուժողների տարբեր տեսակներ, ինչպիսիք են.

Նշեք այն բաղադրիչները, որոնք օգտագործվում են SSL-ում:

SSL-ն ապահովում է անվտանգ կապեր հաճախորդների և սերվերների միջև:

Ազատում պատասխանատվությունից: այս Դիմումի անվտանգության հետ հարցազրույցի հարցեր ուսուցողական գրառումը նախատեսված է միայն կրթական նպատակ. Մենք չենք խրախուսում/աջակցում անվտանգության խնդիրների/վարքագծի հետ կապված որևէ գործունեություն: Անհատը բացառապես պատասխանատու է ցանկացած անօրինական արարքի համար, եթե այդպիսիք կան: