Cuộc phiêu lưu của Joe trong việc phân tích nhật ký máy chủ web vẫn chưa kết thúc. Khi tiếp tục xem xét nhật ký, anh thấy yêu cầu http://www.mycompany.com/../../../etc/passwd Loại cuộc tấn công có khả năng được thực hiện nhất là gì?

Chuyển hướng thư mục - Directory traversal

Chiếm phiên - Session hijacking

Sherry lo rằng một ứng dụng web trong tổ chức hỗ trợ chuyển hướng không xác thực. Phương pháp nào sau đây làm giảm rủi ro của cuộc tấn công này?

Hạn chế chuyển hướng đến miền của cô

Thực thi xác thực đa yếu tố

Tina đang tiến hành pentest và cố truy cập vào một tài khoản người dùng. Lựa chọn nào sau đây là một nguồn lấy thông tin tốt để thu được thông tin xác thực tài khoản người dùng?

Tất cả các phương pháp trên

Danh sách tài khoản mặc định

Dữ liệu mật khẩu từ các trang web bị xâm nhập

Sau khi kiểm tra kỹ hơn, Joe phát hiện một loạt các yêu cầu đến cùng một URL đến từ cùng một địa chỉ IP. Đây là một số ví dụ: http://www.mycompany.com/servicestatus.php?serviceID=1 http://www.mycompany.com/servicestatus.php?serviceID=2 http://www.mycompany.com/servicestatus.php?serviceID=3 http://www.mycompany.com/servicestatus.php?serviceID=4 http://www.mycompany.com/servicestatus.php?serviceID=5 http://www.mycompany.com/servicestatus.php?serviceID=6 Loại lỗ hổng mà kẻ tấn công có khả năng muốn khai thác là gì?

Tấn công trực tiếp đối tượng thiếu an toàn - Insecure direct object reference

Chuyển hướng không được xác thực - Unvalidated redirect

Chiếm phiên - Session hijacking

Phương pháp nào sau đây nếu khả thi sẽ là hiệu quả nhất để chống lại các cuộc tấn công injection?

Lọc dữ liệu nhập theo white-list

Kiểm tra dữ liệu nhập từ trình duyệt

Lọc dữ liệu nhập theo black-list

chap 9

Quiz

•

World Languages

•

University

•

Practice Problem

•

Easy

Hoa Ng

Used 114+ times

FREE Resource

20 questions

Show all answers

1.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Loại xác thực nào được sử dụng trong Kerberos thường được gọi là "golden ticket" vì khả năng tái sử dụng rộng rãi của nó?

Session ticket

Ticket granting ticket

Service ticket

User ticket

2.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Tom là một nhà phát triển phần mềm. Anh ấy muốn đảm bảo với người dùng rằng code mà họ nhận là do chính anh làm. Anh có thể làm gì để đảm bảo được?

Ký mã - Code signing

Uỷ quyền mã - Code endorsement

Mã hóa mã - Code encryption

Sắp xếp mã - Code obfuscation

3.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Công cụ phân tích mã nguồn tĩnh

YASCA

Peach

Immunity

WinDBG

4.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Công cụ gỡ lỗi (debugging tool) nào sau đây tương thích với các hệ thống Linux?

WinDBG

GDB

OllyDbg

SonarQube

5.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Khi chuyên gia bảo mật kiểm tra mã nguồn HTML trên một trình duyệt thì sẽ không thấy được loại tấn công cross-site scripting nào?

Reflected XSS

Stored XSS

Persistent XSS

DOM-based XSS

6.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Joe đang kiểm tra nhật ký hoạt động web server và phát hiện ra rằng một người dùng đã gửi dữ liệu nhập chứa chuỗi WAITFOR vào ứng dụng web. Loại tấn công mà người đó có khả năng đang muốn thực hiện là gì?

Timing-based SQL injection

HTML injection

Cross-site scripting

Content-based SQL injection

7.

MULTIPLE CHOICE QUESTION

30 sec • 1 pt

Loại kiểm soát nào thường được dùng nhất để bảo vệ quyền truy cập vào API?

Khóa API

Mật khẩu

Phản hồi thách thức

Xác thực sinh học

Create a free account and access millions of resources

Create resources

Host any resource

Get auto-graded reports

Continue with Google

Continue with Email

Continue with Classlink

Continue with Clever

or continue with

Microsoft

Apple

Others

Already have an account?

Similar Resources on Wayground

19 questions

A2 Lektion 5 Sport und Gesundheit

Quiz

•

University

20 questions

CHƯƠNG 2: TIÊU CHÍ VÀ PHÂN LOẠI PHỎNG VẤN

Quiz

•

University

20 questions

Từ vựng bài 10

Quiz

•

University

20 questions

Từ vựng - Ngữ pháp A2 (for kids)

Quiz

•

KG - Professional Dev...

20 questions

第一課の言葉

Quiz

•

University

18 questions

S2-11

Quiz

•

University

15 questions

Leçon 18

Quiz

•

University

15 questions

Đố vui văn học

Quiz

•

University

Popular Resources on Wayground

5 questions

This is not a...winter edition (Drawing game)

Quiz

•

1st - 5th Grade

25 questions

Multiplication Facts

Quiz

•

5th Grade

10 questions

Identify Iconic Christmas Movie Scenes

Interactive video

•

6th - 10th Grade

20 questions

Christmas Trivia

Quiz

•

6th - 8th Grade

18 questions

Kids Christmas Trivia

Quiz

•

KG - 5th Grade

11 questions

How well do you know your Christmas Characters?

Lesson

•

3rd Grade

14 questions

Christmas Trivia

Quiz

•

5th Grade

20 questions

How the Grinch Stole Christmas

Quiz

•

5th Grade

Discover more resources for World Languages

26 questions

Christmas Movie Trivia

Lesson

•

8th Grade - Professio...

20 questions

christmas songs

Quiz

•

KG - University

20 questions

Holiday Trivia

Quiz

•

9th Grade - University

15 questions

Holiday Movies

Quiz

•

University

14 questions

Christmas Trivia

Quiz

•

3rd Grade - University

20 questions

Christmas Trivia

Quiz

•

University

8 questions

5th, Unit 4, Lesson 8

Lesson

•

KG - Professional Dev...

20 questions

Disney Trivia

Quiz

•

University

chap 9

20 questions

Loại xác thực nào được sử dụng trong Kerberos thường được gọi là "golden ticket" vì khả năng tái sử dụng rộng rãi của nó?

Tom là một nhà phát triển phần mềm. Anh ấy muốn đảm bảo với người dùng rằng code mà họ nhận là do chính anh làm. Anh có thể làm gì để đảm bảo được?

Công cụ phân tích mã nguồn tĩnh

Công cụ gỡ lỗi (debugging tool) nào sau đây tương thích với các hệ thống Linux?

Khi chuyên gia bảo mật kiểm tra mã nguồn HTML trên một trình duyệt thì sẽ không thấy được loại tấn công cross-site scripting nào?

Joe đang kiểm tra nhật ký hoạt động web server và phát hiện ra rằng một người dùng đã gửi dữ liệu nhập chứa chuỗi WAITFOR vào ứng dụng web. Loại tấn công mà người đó có khả năng đang muốn thực hiện là gì?

Loại kiểm soát nào thường được dùng nhất để bảo vệ quyền truy cập vào API?

Trong quá trình pentest, Bonnie phát hiện trong web server log có ghi lại các lần cố thử truy cập vào URL như sau:
http://www.mycompany.com/sortusers.php?file=C:\uploads\attack.exe
Loại cuộc tấn công mà họ có khả năng thực hiện nhất là gì?

*URL này chứa địa chỉ của tệp cục bộ (local file) được truyền tới ứng dụng web dưới dạng đối số. Đây có thể là hành vi khai thác tệp cục bộ bằng cách thực thi một file độc hại mà testers đã tải lên server từ trước.

Norm đang thực hiện pentest trên ứng dụng web và muốn điều chỉnh dữ liệu đầu vào được gửi đến ứng dụng trước khi dữ liệu rời khỏi trình duyệt của anh. Công cụ nào sau đây sẽ hỗ trợ được cho anh?

Cho sơ đồ mạng sau, vị trí phù hợp nhất cho tường lửa ứng dụng web (WAF) là ở đâu?

Create a free account and access millions of resources

Similar Resources on Wayground

Popular Resources on Wayground

Discover more resources for World Languages

chap 9

20 questions

Loại xác thực nào được sử dụng trong Kerberos thường được gọi là "golden ticket" vì khả năng tái sử dụng rộng rãi của nó?

Tom là một nhà phát triển phần mềm. Anh ấy muốn đảm bảo với người dùng rằng code mà họ nhận là do chính anh làm. Anh có thể làm gì để đảm bảo được?

Công cụ phân tích mã nguồn tĩnh

Công cụ gỡ lỗi (debugging tool) nào sau đây tương thích với các hệ thống Linux?

Khi chuyên gia bảo mật kiểm tra mã nguồn HTML trên một trình duyệt thì sẽ không thấy được loại tấn công cross-site scripting nào?

Joe đang kiểm tra nhật ký hoạt động web server và phát hiện ra rằng một người dùng đã gửi dữ liệu nhập chứa chuỗi WAITFOR vào ứng dụng web. Loại tấn công mà người đó có khả năng đang muốn thực hiện là gì?

Loại kiểm soát nào thường được dùng nhất để bảo vệ quyền truy cập vào API?

Trong quá trình pentest, Bonnie phát hiện trong web server log có ghi lại các lần cố thử truy cập vào URL như sau:http://www.mycompany.com/sortusers.php?file=C:\uploads\attack.exeLoại cuộc tấn công mà họ có khả năng thực hiện nhất là gì?

*URL này chứa địa chỉ của tệp cục bộ (local file) được truyền tới ứng dụng web dưới dạng đối số. Đây có thể là hành vi khai thác tệp cục bộ bằng cách thực thi một file độc hại mà testers đã tải lên server từ trước.

Norm đang thực hiện pentest trên ứng dụng web và muốn điều chỉnh dữ liệu đầu vào được gửi đến ứng dụng trước khi dữ liệu rời khỏi trình duyệt của anh. Công cụ nào sau đây sẽ hỗ trợ được cho anh?

Cho sơ đồ mạng sau, vị trí phù hợp nhất cho tường lửa ứng dụng web (WAF) là ở đâu?

Create a free account and access millions of resources

Similar Resources on Wayground

Popular Resources on Wayground

Discover more resources for World Languages

Trong quá trình pentest, Bonnie phát hiện trong web server log có ghi lại các lần cố thử truy cập vào URL như sau:
http://www.mycompany.com/sortusers.php?file=C:\uploads\attack.exe
Loại cuộc tấn công mà họ có khả năng thực hiện nhất là gì?