|
-
OWASP là thuật ngữ viết tắt của
|
-
Open Web Application Security Process.
| -
Open Web Application Security Project.
| -
Open Web Application Server Project.
| -
Tất cả đều sai.
|
-
OWASP Top 10 ra đời vào năm
|
-
2007.
| -
2010.
| -
2003.
| -
2013.
|
-
Lỗ hổng bảo mật “Sensitive Data Exposure” trong OWASP Top 10 – 2013 là sự tổng hợp các lỗ hổng bảo mật nào trong các phiên bản OWASP Top 10 cũ:
|
-
Insecure Cryptographic Storage, Insufficient Transport Layer Protection.
| -
Insecure Cryptographic Storage, Failure to Restrict URL Access
| -
Security Misconfiguration, Failure to Restrict URL Access.
| -
Insufficient Transport Layer Protection, Security Misconfiguration.
|
-
Trong cơ chế xác thực theo đặc tả HTTP, phát biểu nào sau đây đúng?
| -
Basic Access Authentication bảo mật tốt hơn Digest Access Authentication.
| -
Digest Access Authentication bảo mật tốt hơn Basic Access Authentication.
| -
Basic Access Authetication dùng hàm băm MD5.
| -
Tất cả đều sai
| -
Trong vấn đề xác thực, những kỹ thuật điều khiển truy xuất chính gồm có:
|
-
Discretionary Access Control, Mandatory Access Control, Rule-Based Access Control.
| -
Discretionary Access Control, Mandatory Access Control, Organization-Based Access Control.
| -
Discretionary Access Control, Mandatory Access Control, Role-Based Access Control.
| -
Tất cả đều đúng.
|
-
Trong vấn đề xác thực, phát biểu nào sau đây đúng?
|
-
Kỹ thuật MAC bảo vệ dữ liệu tốt hơn kỹ thuật DAC.
| -
Sử dụng DAC thì “covert channel” là bài toán rất phức tạp nhằm giải quyết yếu điểm của DAC.
| -
Câu a, b đúng.
| -
Câu a, b sai.
|
-
Trong vấn đề xác thực, phát biểu nào sau đây đúng?
| -
Kỹ thuật RBAC thích hợp cả cho các ứng dụng trong môi trường Web.
| -
Kỹ thuật RBAC chỉ sử dụng cho các ứng dụng trong môi trường Web.
| -
Kỹ thuật RBAC không được sử dụng cho các ứng dụng trong môi trường Web.
| -
Tất cả đều sai.
| -
Với cơ chế MAC thì phát biểu nào sau đây sai?
|
-
Users có thể kiểm soát các quyền trên các dữ liệu mà họ tạo ra.
| -
MAC còn có tên gọi khác là “multilevel-schema databases access control models”.
| -
Câu a, b đúng.
| -
Câu a, b sai.
|
-
Mô hình DAC không thể bảo vệ hệ thống tránh lại các tấn công từ:
|
-
Trojan Horse.
| -
Malware.
| -
Software Bugs.
| -
Tất cả đều đúng.
|
-
Phát biểu nào sau đây đúng?
|
-
SQL Injection là một kỹ thuật khai thác lỗ hổng bảo mật xảy ra ở tầng cơ sở dữ liệu của một ứng ụng.
| -
SQL Injection Attack thay đổi các câu lệnh SQL được tạo ra trong ứng dụng.
| -
Câu a, b đúng.
| -
Câu a, b sai.
|
-
Lỗ hổng bảo mật nào làm cho ứng dụng dễ bị tấn công SQL Injection:
|
-
Không kiểm tra kiểu hoặc ép kiểu mạnh (strongly typed) User input.
| -
Không lọc lại User Input để tránh trường hợp các chuỗi ký tự đặc biệt được nhúng vào trong câu lệnh SQL.
| -
Câu a, b đúng.
| -
Câu a, b sai.
|
-
Các cơ chế tiêm nhiễm trong SQL Injection gồm có:
|
-
Thông qua user input (HTTP GET/POST) và cookies.
| -
Thông qua user input (HTTP GET/POST).
| -
Thông qua cookies.
| -
Tất cả đều sai
|
-
Tấn công SQL Injection gồm có mấy giai đoạn?
|
-
2
| -
3
| -
4
| -
5
|
-
Các ký tự đặc biệt (được in đậm) cần phải lọc khỏi User Input để tránh SQL Injection:
|
-
‘ , “ , / , \ , ; , NULL
| -
‘ , “ , ( , ) , ? , NULL
| -
* , / , \ , ; , NULL
| -
# , / , \ , ; , NULL
|
-
Mô hình Bell-LaPadula gồm có 2 tính chất:
|
-
No read-up & no write-down
| -
No read-down & no write-up
| -
No write-up and no read-down
| -
Read-up and write-down
|
-
Trong mô hình Bell-LaPadula, tính chất sao (* property) là tên gọi khác của:
|
-
Tính chất no read-up.
| -
Tính chất no write-down.
| -
Tính chất no write-up
| -
Tính chất no read-down
|
-
Tính chất no write-down trong mô hình Bell-LaPadula đảm bảo:
|
-
Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) ≥ class(O).
| -
Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) > class(O).
| -
Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) < class(O).
| -
Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) ≤ class(O).
|
-
Tính chất no read-up trong mô hình Bell-LaPadula đảm bảo:
|
-
Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) < class(O).
| -
Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) ≤ class(O).
| -
Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) ≥ class(O).
| -
Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) > class(O).
|
-
Mục tiêu của các tấn công khai thác lỗ hổng Cross-Site Scripting XSS gồm có:
|
-
Client truy cập vào Server.
| -
Browser.
| -
Doanh nghiệp sử dụng server.
| -
Tất cả đều đúng.
|
-
Nguyên nhân chính dẫn đến ứng dụng Web bị tấn công XSS:
|
-
Người dùng duyệt các trang Web không hợp lệ.
| -
Ứng dụng Web không kiểm tra tính hợp lệ dữ liệu nhập của người dùng.
| -
Tất cả đều đúng.
| -
Tất cả đều sai.
|