💯 Угрозы безопасности веб-приложений [Тема 1-7] — ответы на тест Синергия / МОИ / МТИ / МосАП
Угрозы безопасности веб-приложений > Итоговый тест
- правильные ответы на вопросы из теста по данной дисциплине
- вопросы отсортированы в лексикографическом порядке
Угрозы безопасности веб-приложений
- Тема 1. Введение в безопасность веб-приложений
- Тема 2. Атаки на клиентскую часть
- Тема 3. Атаки на серверную часть
- Тема 4. Атаки на сессии пользователей
- Тема 5. Атаки на файловую систему
- Тема 6. Защита от атак
- Тема 7. Заключение
- Итоговое задание для самопроверки
- Глоссарий
- Итоговая аттестация
… включает в себя информацию о входах и выходах пользователей, изменениях в системных настройках, попытках доступа к ресурсам и других важных событиях
Тип ответа: Текcтовый ответ
98-ФЗ регулирует …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- политику безопасности
- электронные подписи
- коммерческую тайну
- обработку персональных данных
Атака на веб-приложения, использующая уязвимые входные данные для выполнения произвольных команд на сервере, это …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- SQL Injection
- XXE
- XSS
- Command Injection
Атака типа … использует уязвимые входные данные на сервере, чтобы выполнять различные команды.
Тип ответа: Текcтовый ответ
Атака XSS отличается от атаки типа … тем, что в случае последнего вредоносный код хранится на стороннем сайте
Тип ответа: Текcтовый ответ
Атака, которая позволяет злоумышленнику получить доступ к файловой системе сервера, обходя ограничения, установленные приложением, называется:
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- SQL injection
- Directory Traversal
- Session Hijacking
- File Inclusion
Атака, при которой атакующий может попытаться перехватить данные между клиентом и сервером, называется…
Тип ответа: Текcтовый ответ
Атаки типа SQL Injection, XXE и Command injection относятся к атакам на … часть
Тип ответа: Текcтовый ответ
В XML существуют внешние сущности, ссылающиеся на внешние ресурсы, некоторые значения которых загружаются из …-файлов
Тип ответа: Текcтовый ответ
Введение капчи, ставшее обязательной на многих сайтах, является довольно эффективным методом защиты от атак типа …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- Session Hijacking
- Brute Force
- SQL injection
- Command injection
Визуальная часть приложения, которая выполняет код на машине пользователя называется:
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- frontend
- backend
- fullstack
- верстка
Если при атаке типа XSS вредоносный код остаётся в базе данных ресурса, мы можем утверждать, что данная атака относится к … виду XSS атак
Тип ответа: Текcтовый ответ
Задержка ввода и ввод капчи используются, как эффективная защита от атак типа …
Тип ответа: Текcтовый ответ
Использование ненадежного VPN может сделать систему уязвимой к такому типу атаки, как …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- Session Hijacking
- Brute Force
- Command injection
- SQL injection
Клиентская часть приложения, которая выполняет код на машине пользователя и, как правило, отвечает за визуальную часть сайта, обозначается английским термином …
Тип ответа: Текcтовый ответ
Невидимые кнопки на сайте, которые при нажатии перенаправляют пользователя на другие ресурсы, являются атакой, которая называется …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- XSS
- CSRF
- Clickjacking
- Brute Force
Основной механизм работы XSS атаки - это …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- встраивание вредоносного кода внутрь сайта
- перегрузка ресурса множественными запросами
- подбор пароля множественным перебором
- добавление невидимых элементов на страницу
Популярный инструмент для аудита системных событий на Linux-системах это …
Тип ответа: Текcтовый ответ
Потенциально возможное событие, которое может привести к утечке, изменению или утрате информации можно назвать …
Тип ответа: Текcтовый ответ
Прозрачные или поддельные кнопки на сайтах - основной инструмент атак типа …
Тип ответа: Текcтовый ответ
Расположите по порядку этапы атаки типа File Inclusion
Тип ответа: Сортировка
- 1 Злоумышленник находит уязвимый скрипт
- 2 Злоумышленник подготавливает вредоносный файл
- 3 Злоумышленник отправляет запрос с указанием файла для включения
- 4 Сервер выполняет указанный файл и возвращает результат
Расположите по порядку этапы выполнения атаки Command Injection:
Тип ответа: Сортировка
- 1 введение вредоносных команд в поле ввода
- 2 отправка запроса на сервер
- 3 выполнение сервером введенных команд
- 4 получение результатов выполнения команд
Расположите угрозы по размеру ущерба от самого незначительного до наиболее обширного:
Тип ответа: Сортировка
- 1 Частные
- 2 Локальные
- 3 Общие
Расставьте в правильном порядке этапы реализации атаки типа Session hijacking:
Тип ответа: Сортировка
- 1 Используя социальную инженерию, злоумышленник получает доверие пользователя
- 2 Злоумышленник отправляет пользователю вредоносное ПО/ссылку
- 3 Злоумышленник крадет данные пользователя
Система безопасности, которая контролирует и фильтрует входящий и исходящий сетевой трафик на основе заранее установленных правил это ...
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- HTTPS
- Firewall
- сетевой фильтр
- антивирус
Совокупность технологий, процедур, политик и мер, направленных на защиту информации и информационных систем от различных угроз - это…
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- информационная безопасность
- политика безопасности
- кибериммунитет
- методы защиты
Соотнесите пример угрозы с их классификацией:
Тип ответа: Сопоставление
- A. Доступ к чтению личных сообщений
- B. Смена номера телефона для доступа к кошельку
- C. Удаление файлов из облачного хранилища
- D. Угроза конфиденциальности
- E. Угроза доступности
- F. Угроза целостности
Сопоставьте описание атаки с её типом:
Тип ответа: Сопоставление
- A. Атака на веб-приложения, использующая уязвимые входные данные для выполнения произвольных команд на сервере
- B. Атака на приложения, обрабатывающие XML данные, которая использует уязвимости, появляющиеся из-за ссылок на внешние ресурсы
- C. Атака, направленная на базу данных приложения, которая заставляет сервер выполнить код злоумышленника
- D. Command injection
- E. XXE
- F. SQL Injection
Угроза информационной безопасности, которую злоумышленник пытается реализовать - это …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- атака
- взлом
- реализация угрозы
- проникновение
Упорядочьте шаги, необходимые для выполнения атаки SQL Injection:
Тип ответа: Сортировка
- 1 изменить SQL-запрос, добавив вредоносный код
- 2 ввести данные в форму ввода
- 3 отправить запрос на сервер
- 4 получить ответ от базы данных
Упорядочьте этапы реагирования на инциденты безопасности:
Тип ответа: Сортировка
- 1 Обнаружение вторжения
- 2 Анализ журнала событий
- 3 Реакция на инцидент
- 4 Применение firewall
Хакер получил доступ к базе данных клиентов банка. Он удаляет всю базу целиком, лишая банка всех контактов. Данная атака относится к угрозам …
Тип ответа: Текcтовый ответ
Хакер получил доступ к персональному архиву с фото. У него есть возможность просматривать архив, но он не в состоянии удалить или модифицировать файлы. Данная атака относится к угрозам …
Тип ответа: Текcтовый ответ
Частными случаями атак типа Session Hijacking можно считать атаки типа XSS и …
Тип ответа: Текcтовый ответ
Чтобы сделать данные недоступными для третьих лиц, HTTPS использует…
Тип ответа: Текcтовый ответ
Clickjacking - это атака, нацеленная на …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- файловую систему
- сессии пользователей
- клиентскую часть
- серверную часть
Nagios это…
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- SIEM-система, которая позволяет собирать, анализировать и визуализировать данные из различных источников
- открытая платформа для управления логами с возможностью анализа и визуализации
- открытая система обнаружения вторжений (HIDS), которая собирает и анализирует журналы событий
- система мониторинга, которая может отслеживать журналы событий и предупреждать о проблемах
OSSEC это…
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- SIEM-система, которая позволяет собирать, анализировать и визуализировать данные из различных источников
- открытая платформа для управления логами с возможностью анализа и визуализации
- открытая система обнаружения вторжений (HIDS), которая собирает и анализирует журналы событий
- система мониторинга, которая может отслеживать журналы событий и предупреждать о проблемах
Splunk это …
Тип ответа: Одиночный выбор • с выбором одного правильного ответа из нескольких предложенных вариантов
- SIEM-система, которая позволяет собирать, анализировать и визуализировать данные из различных источников
- открытая платформа для управления логами с возможностью анализа и визуализации
- открытая система обнаружения вторжений (HIDS), которая собирает и анализирует журналы событий
- система мониторинга, которая может отслеживать журналы событий и предупреждать о проблемах
