TRƯỜng đẠi học sư phạm kỹ thuật thành phố HỒ chí minh



tải về 44.2 Kb.
Chuyển đổi dữ liệu05.09.2016
Kích44.2 Kb.

TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT

THÀNH PHỐ HỒ CHÍ MINH


KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN: HỆ THỐNG THÔNG TIN

-------------------------

ĐÁP ÁN ĐỀ THI CUỐI KỲ HỌC KỲ 2 NĂM HỌC 2014 - 2015

Môn: Bảo Mật Web

Mã môn học: WESE431479

Đề số 01 Đề thi có 06 trang.

Thời gian: 60 phút.

Được phép sử dụng tài liệu giấy.





GIÁM THỊ 1



GIÁM THỊ 2

ĐIỂM


PHẦN 1: THÔNG TIN THÍ SINH

Mã số sinh viên: Số BD:

Họ và tên: Ngày sinh:

Ngày thi: Phòng thi:
PHẦN 2: TRẮC NGHIỆM (5 điểm)

Đối với mỗi câu hỏi sau, hãy đánh dấu X cho câu trả lời đúng nhất.



Hướng dẫn trả lời:

Chọn A: A B C D

Bỏ A, chọn C: A B C D

Bỏ C, chọn D: A B C D

Bỏ D, chọn lại A: A B C D




  1. OWASP là thuật ngữ viết tắt của

    1. Open Web Application Security Process.

    1. Open Web Application Security Project.

    1. Open Web Application Server Project.

    1. Tất cả đều sai.

  1. OWASP Top 10 ra đời vào năm

    1. 2007.

    1. 2010.

    1. 2003.

    1. 2013.

  1. Lỗ hổng bảo mật “Sensitive Data Exposure” trong OWASP Top 10 – 2013 là sự tổng hợp các lỗ hổng bảo mật nào trong các phiên bản OWASP Top 10 cũ:

    1. Insecure Cryptographic Storage, Insufficient Transport Layer Protection.

    1. Insecure Cryptographic Storage, Failure to Restrict URL Access

    1. Security Misconfiguration, Failure to Restrict URL Access.

    1. Insufficient Transport Layer Protection, Security Misconfiguration.

  1. Trong cơ chế xác thực theo đặc tả HTTP, phát biểu nào sau đây đúng?

    1. Basic Access Authentication bảo mật tốt hơn Digest Access Authentication.

    1. Digest Access Authentication bảo mật tốt hơn Basic Access Authentication.

    1. Basic Access Authetication dùng hàm băm MD5.

    1. Tất cả đều sai

  1. Trong vấn đề xác thực, những kỹ thuật điều khiển truy xuất chính gồm có:

    1. Discretionary Access Control, Mandatory Access Control, Rule-Based Access Control.

    1. Discretionary Access Control, Mandatory Access Control, Organization-Based Access Control.

    1. Discretionary Access Control, Mandatory Access Control, Role-Based Access Control.

    1. Tất cả đều đúng.

  1. Trong vấn đề xác thực, phát biểu nào sau đây đúng?

    1. Kỹ thuật MAC bảo vệ dữ liệu tốt hơn kỹ thuật DAC.

    1. Sử dụng DAC thì “covert channel” là bài toán rất phức tạp nhằm giải quyết yếu điểm của DAC.

    1. Câu a, b đúng.

    1. Câu a, b sai.

  1. Trong vấn đề xác thực, phát biểu nào sau đây đúng?

    1. Kỹ thuật RBAC thích hợp cả cho các ứng dụng trong môi trường Web.

    1. Kỹ thuật RBAC chỉ sử dụng cho các ứng dụng trong môi trường Web.

    1. Kỹ thuật RBAC không được sử dụng cho các ứng dụng trong môi trường Web.

    1. Tất cả đều sai.

  1. Với cơ chế MAC thì phát biểu nào sau đây sai?

    1. Users có thể kiểm soát các quyền trên các dữ liệu mà họ tạo ra.

    1. MAC còn có tên gọi khác là “multilevel-schema databases access control models”.

    1. Câu a, b đúng.

    1. Câu a, b sai.

  1. Mô hình DAC không thể bảo vệ hệ thống tránh lại các tấn công từ:

    1. Trojan Horse.

    1. Malware.

    1. Software Bugs.

    1. Tất cả đều đúng.

  1. Phát biểu nào sau đây đúng?

    1. SQL Injection là một kỹ thuật khai thác lỗ hổng bảo mật xảy ra ở tầng cơ sở dữ liệu của một ứng ụng.

    1. SQL Injection Attack thay đổi các câu lệnh SQL được tạo ra trong ứng dụng.

    1. Câu a, b đúng.

    1. Câu a, b sai.

  1. Lỗ hổng bảo mật nào làm cho ứng dụng dễ bị tấn công SQL Injection:

    1. Không kiểm tra kiểu hoặc ép kiểu mạnh (strongly typed) User input.

    1. Không lọc lại User Input để tránh trường hợp các chuỗi ký tự đặc biệt được nhúng vào trong câu lệnh SQL.

    1. Câu a, b đúng.

    1. Câu a, b sai.

  1. Các cơ chế tiêm nhiễm trong SQL Injection gồm có:

    1. Thông qua user input (HTTP GET/POST) và cookies.

    1. Thông qua user input (HTTP GET/POST).

    1. Thông qua cookies.

    1. Tất cả đều sai

  1. Tấn công SQL Injection gồm có mấy giai đoạn?

    1. 2

    1. 3

    1. 4

    1. 5

  1. Các ký tự đặc biệt (được in đậm) cần phải lọc khỏi User Input để tránh SQL Injection:

    1. ‘ , , / , \ , ; , NULL

    1. ‘ , , ( , ) , ? , NULL

    1. * , / , \ , ; , NULL

    1. # , / , \ , ; , NULL

  1. Mô hình Bell-LaPadula gồm có 2 tính chất:

    1. No read-up & no write-down

    1. No read-down & no write-up

    1. No write-up and no read-down

    1. Read-up and write-down

  1. Trong mô hình Bell-LaPadula, tính chất sao (* property) là tên gọi khác của:

    1. Tính chất no read-up.

    1. Tính chất no write-down.

    1. Tính chất no write-up

    1. Tính chất no read-down

  1. Tính chất no write-down trong mô hình Bell-LaPadula đảm bảo:

    1. Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) ≥ class(O).

    1. Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) > class(O).

    1. Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) < class(O).

    1. Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) ≤ class(O).

  1. Tính chất no read-up trong mô hình Bell-LaPadula đảm bảo:

    1. Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) < class(O).

    1. Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) ≤ class(O).

    1. Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) ≥ class(O).

    1. Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) > class(O).

  1. Mục tiêu của các tấn công khai thác lỗ hổng Cross-Site Scripting XSS gồm có:

    1. Client truy cập vào Server.

    1. Browser.

    1. Doanh nghiệp sử dụng server.

    1. Tất cả đều đúng.

  1. Nguyên nhân chính dẫn đến ứng dụng Web bị tấn công XSS:

    1. Người dùng duyệt các trang Web không hợp lệ.

    1. Ứng dụng Web không kiểm tra tính hợp lệ dữ liệu nhập của người dùng.

    1. Tất cả đều đúng.

    1. Tất cả đều sai.

PHẦN 3: TỰ LUẬN: (5 điểm)

  1. Trình bày ngắn gọn về lỗ hổng bảo mật A5 – Security Misconfiguration được đề cập trong OWASP Top 10 – 2013: các nguyên nhân và cách phòng chống? Trình bày hai kịch bản tấn công qua lỗ hổng bảo mật này.

Các cấu hình bảo mật phải được định nghĩa và triển khai cho các ứng dụng, framework, applicaton server, web server, database server. Một số nguyên nhân dẫn đến lỗ hổng bảo mật này:

  • Phần mềm, hệ điều hành, Web/App Server, DBMS,… không được cập nhật mới.

  • Các tính năng không cần thiết được cài đặt trong hệ thống sẽ tự động kích hoạt các dịch vụ, các port nguy hiểm.

  • Các tài khoản và mật khẩu mặc định khi cài đặt hệ thống vẫn được sử dụng, chưa được thay đổi.

  • Các cấu hình bảo mật mặc định (thường không an toàn) trong các ứng dụng, hệ thống.

Cách phòng chống:

  • Cập nhật các bản phần mềm, các bản vá lỗi mới.

  • Bỏ kích hoạt hoặc gỡ bỏ các tính năng không cần thiết trong hệ thống.

  • Thay đổi mật khẩu hoặc disabled các tài khoản mặc định.

  • Cấu hình lại các chế độ bảo mật trong các ứng dụng, hệ thống.

  • Định kỳ kiểm tra và audit toàn bộ hệ thống.

Kịch bản 1: Ứng dụng quản trị Server dạng Console được cài đặt tự động trong hệ thống và không được gỡ bỏ. Các tài khoản mặc định không được thay đổi. Kẻ tấn công có thể tìm thấy console này và dùng mật khẩu mặc định để chiếm quyền điều khiển hệ thống.

Kịch bản 2: Dịch vụ “Directory Listing” không được disabled trên server. Kẻ tấn công có thể dựa vào đó để tìm thấy bất kỳ tập tin nào có trên server, download các tập tin Java đã được biên dịch, biên dịch ngược trở lại để đọc được toàn bộ code ban đầu.



- HẾT -

Ghi chú:

    • Sinh viên không được sử dụng laptop trong khi làm bài thi

    • Cán bộ coi thi không được giải thích đề thi.




Chuẩn đầu ra của học phần (về kiến thức)

Nội dung kiểm tra

[CĐR G1.1]: Trình bày được các rủi ro hàng đầu đối với ứng dụng Web.

Câu 1 – 21

[CĐR G1.2]: Xây dựng được tư duy và ý thức về bảo mật ứng dụng Web.

Câu 1 - 21

[CĐR G2.1]: Trình bày được những giải pháp phòng chống các tấn công vào ứng dụng Web.

Câu 1 – 21

Ngày 15 tháng 06 năm 2015



Thông qua bộ môn



/6


: Resources -> Docs -> SubDomain
SubDomain -> QuyếT ĐỊnh của bộ TÀi chính số 32/2008/QĐ-btc ngàY 29 tháng 05 NĂM 2008 VỀ việc ban hành chế ĐỘ quản lý, TÍnh hao mòN
SubDomain -> Ban tổ chức số 09-hd/btctw đẢng cộng sản việt nam
SubDomain -> Nghị ĐỊnh của chính phủ SỐ 52/2009/NĐ-cp ngàY 03 tháng 06 NĂM 2009 quy đỊnh chi tiết và HƯỚng dẫn thi hành một số ĐIỀu của luật quản lý, SỬ DỤng tài sản nhà NƯỚc chính phủ
SubDomain -> TRƯỜng đẠi học khoa học xã HỘi và nhân văN ­­­­
SubDomain -> CỘng hòa xã HỘi chủ nghĩa việt nam
SubDomain -> BỘ giáo dục và ĐÀo tạO
SubDomain -> TRƯỜng đẠi học khoa học xã HỘi và nhân văN    quy trình quản lý CÔng tác văn thư, LƯu trữ
SubDomain -> BỘ NỘi vụ CỘng hòa xã HỘi chủ nghĩa việt nam độc lập Tự do Hạnh phúc
SubDomain -> Căn cứ Luật Tổ chức Chính phủ ngày 25 tháng 12 năm 2001
SubDomain -> Độc lập Tự do Hạnh phúc ĐĂng ký ngưỜi phụ thuộc giảm trừ gia cảNH




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương