41 Interessante spørgsmål om applikationssikkerhedsinterview

Spørgsmål om applikationssikkerhedsinterview

Vi vil diskutere omkring Spørgsmål om applikationssikkerhedsinterview/Spørgsmål om penetrationstest som består af en liste over hyppigst stillede spørgsmål spørgsmål om sikkerhed og også dækket Spørgsmål om sikkerhedsingeniørinterview og spørgsmål om cybersikkerhedsinterview:

Ansøgning Sikkerhedsinterview Spørgsmål
Ansøgning Sikkerhedsinterview Spørgsmål

Kritisk || Spørgsmål om applikationssikkerhedsinterview

Major || Spørgsmål om applikationssikkerhedsinterview

Grundlæggende || Spørgsmål om applikationssikkerhedsinterview

Basisniveau -1 || Kritisk || Spørgsmål om applikationssikkerhedsinterview

Hvordan ville et HTTP-program håndtere tilstand?

HTTP, der er en statsløs protokol, bruger cookies til at håndtere webapplikationens tilstand. HTTP kan håndtere webapplikationstilstand i nedenstående fremgangsmåder og opretholder session:

  • Klient-side
  • Server-side.

Dataene gemmes muligvis i cookies eller i webserverens session.

Hvad forstår du ved Cross Site Scripting eller XSS?

Cross-site Scripting forkortet som XSS er et problem med injektion af kode på klientsiden, hvor den ikke-autoriserede bruger sigter mod at udføre ondsindede scripts i brugerens webbrowser ved at inkorporere ondsindet kode i en webapplikation og dermed når brugeren besøger denne webapplikation, så den ondsindede kode bliver udført, hvilket resulterer i cookies, sessionstokener sammen med andre følsomme oplysninger, der skal kompromitteres.

Hvad er typerne af XSS?

Der er stort set tre forskellige kategorier af XSS:

Reflekteret XSS: I denne tilgang gemmes det ondsindede script ikke i databasen i tilfælde af denne sårbarhed; i stedet kommer det fra den aktuelle HTTP-anmodning.

Opbevaret XSS: De mistænkelige scripts blev gemt i databasen over webapplikationen og kan blive initieret derfra af påvirket persons handling på flere måder såsom kommentarfelt eller diskussionsfora osv.

DOM XSS: I DOM (Document Object Model) XSS findes de potentielle problemer inden for klientsidekoden i stedet for serversidekoden. Her i denne type flyder det ondsindede script i browseren og fungerer som et kildescript i DOM.

Denne potentielle indvirkning opstår, når en klientsides kode læser data fra DOM og behandler disse data uden at filtrere input.

Hvad er owasp top 10 i 2021?

  • Injektionen
  • Den ødelagte godkendelse
  • Den følsomme dataeksponering
  • XML-eksterne enheder (XXE)
  • Den ødelagte adgangskontrol
  • Sikkerhedsfejlkonfigurationer
  • Cross-Site Scripting (XSS)
  • Den usikre deserialisering
  • Brug af komponenter med kendte sårbarheder
  • Den utilstrækkelige logning og overvågning

Nævn risikovurderingsmetoden for owasp?

Owasp-risikovurderingsmetoderne er adskilt i de forskellige lag, såsom:

  • Systemrisiko-identifikationslag
  • Kildestimering af risikomekanismen
  • Effektestimering og analyse
  • Bestemmelse af risikosvigtigheden.
  • Risikoreducerende teknikker.

Forklar, hvordan fungerer tracert eller tracerout?

Tracerout eller tracert, som navnet antyder, overvåger dybest set og analyserer ruten mellem værtsmaskine til fjernmaskine. det udfører nedenstående aktiviteter:

  • Skærme og identificere datapakker omdirigeres eller ej.
  • Analyser traversal hastighed af datapakker.
  • Analyser humlenumrene, der bruges, mens datapakke gennemgår fra og til værts- og fjernmaskiner

Hvad er ICMP?

ICMP står for Internet Control Message Protocol, der ligger i netværkslaget i OSI-modellen og er en integreret del af TCP / IP.

Hvilken port er til ICMP eller pinging?

Ping kræver ingen port og bruger ICMP. Det bruges til at identificere, om fjernværten er i en aktiv status eller ej, og det identificerer også pakketab og forsinket returret inden for kommunikationen.

Nævn listen over udfordringer for en vellykket implementering og overvågning af detektering af internetindbrud?

  • Begrænsninger for NIDS til webovervågning, dvs. (semantiske problemer under forståelse af HTTP, SSL)
  • Udfordringer ved logføring af logføring (Mod_Security audit_log)
  • Den centraliserede fjernlogning
  • Alarmeringsmekanismerne
  • Mens opdatering af signaturer / politikker

Nævn den risiko, der er forbundet med usikre HTTP-cookies med tokens?

Adgangskontrolbrudpåvirkningen udløses, når HTTP-cookies ikke markeres sammen med sikre tokens.

Nævn det grundlæggende design af OWASP ESAPI?

Det største OWASP ESAPI-design er:

  • Gruppen af ​​sikkerhedskontrolgrænseflader
  • En referenceimplementering for hver sikkerhedskontrol.
  • En mulighed for implementering for hver organisation, der anvendes til enhver sikkerhedskontrol.

Hvad er port scanning?

Scanning af porte for at opdage, at der kan være nogle svage punkter i systemet, som ikke-autoriseret bruger kan målrette mod og trække nogle vigtige og følsomme dataoplysninger til.

Nævner de forskellige typer havnescanninger?

  • Strobe: Stroboscanning er grundlæggende udført af kendte tjenester.
  • UDP: Her, i dette tilfælde, scanning af åbne UDP-porte
  • Vanilla: I denne type scanning initierer scanneren forbindelse til alle de tilgængelige 65,535 porte.
  • Feje: I denne type scanning initierer scanneren forbindelsen til den samme port på flere maskiner.
  • Fragmenterede pakker: I denne type scanning sørger scanneren selv for at sende de pakkefragmenter, der kommer gennem de enkle pakkefiltre i en firewall.
  • Stealth-scanning: I denne type scanningstilgang blokerer scanneren de scannede maskiner fra at registrere portscanningsaktiviteterne.
  • FTP-afvisning: I denne type scanning ruter scanneren gennem en FTP-server for at identificere scanningskilde.

Hvad er en honningpotte?

Honeypot er et computersystem, der efterligner sandsynlige mål for cyberproblemer. Honeypot bruges grundlæggende til detektion og afbøjning af sårbarhed fra et legitimt mål.

Blandt Windows og Linux, hvilken giver sikkerhed?

Begge operativsystemer har deres fordele og ulemper. Alligevel foretrækker det meste af samfundet, ifølge sikkerheden, at bruge Linux, da det giver mere fleksibilitet og sikkerhed sammenlignet med Windows, i betragtning af at mange sikkerhedsforskere har bidraget til at sikre Linux.

Hvilken er mest implementeret protokol på en login-side?

TLS / SSL-protokollen er implementeret i de fleste scenarier, mens data er i transmissionslag. Dette skal gøres for at opnå fortrolighed og integritet af brugerens kritiske og følsomme data ved hjælp af kryptering i transmissionslaget.

Hvad er offentlig nøgle-kryptografi?

Public Key Cryptography (PKC), også kendt som asymmetrisk kryptografi, er en kryptografiprotokol, der kræver to separate nøglesæt, dvs. en privat og en anden er offentlig til datakryptering og dekryptering.

Angiv forskellen mellem kryptografi med privat og offentlig nøgle, mens du udfører kryptering og signering af indhold?

I tilfælde af digital signering bruger afsenderen den private nøgle til at underskrive dataene og på den anden side verificerer og validerer modtageren dataene med selve afsenderens offentlige nøgle.

Under kryptering krypterer afsenderen dataene med modtagerens offentlige nøgle og modtager dekrypterer og validerer dem ved hjælp af hans / hendes private nøgle.

Nævn den største anvendelse af kryptografi med public key?

De vigtigste anvendelsestilfælde af kryptografi med offentlig nøgle er:

  • Digital signering - Indholdet er digitalt signeret.
  • Kryptering - Indholdskryptering med den offentlige nøgle.

Diskuter om phishing-spørgsmål?

I phishing introduceres den falske webside for at narre brugeren og manipulere ham med at indsende kritiske og følsomme oplysninger.

Hvilken tilgang kan du tage for at forsvare phishing-forsøg?

Bekræftelse og validering af XSS-sårbarheder og HTTP-henvisningshoved er nogle afbødningsmetoder mod phishing.

Hvordan kan jeg forsvare mig mod flere loginforsøg?

Der er forskellige tilgange til at forsvare mod flere loginforsøg, såsom:

  • Oprettelse af politik til blokering af konto baseret på flere antal forsøg og prøveversion for at få adgang til kontoen.
  • Captcha-baseret implementering af funktionalitet på login-siden for at identificere og skelne mellem menneske eller BOT.

Hvad er sikkerhedstestning?

Sikkerhedstest er et af de vigtigste vigtige testområder for at identificere de mulige sårbarheder i enhver software (ethvert system eller internet eller netværk eller mobil eller andre enheder) baseret applikation og beskytte deres fortrolige og følsomme datasæt mod potentiel risiko og ubudne gæster.

Hvad er "sårbarhed"?

Svar: Sårbarhed betragtes som svaghed / fejl / fejl i ethvert system, hvorigennem en ikke-autoriseret bruger kan målrette mod systemet eller den bruger, der bruger applikationen.

Hvad er indtrængningsdetektion?

Svar: IDS- eller indbrudsdetekteringssystem er software- eller hardwareapplikation, der overvåger et netværk for ikke-godkendt aktivitet eller overtrædelse af politikker. Under disse situationer rapporteres og løses det typisk ved hjælp af sikkerhedsoplysninger og respektive hændelsesstyringssystem.

Få system til detektion af indtrængen er i stand til at reagere på den detekterede indtrængen ved opdagelsen, kendt som intrængningsforebyggelsessystemer (IPS).

Basisniveau -2 || Major || Spørgsmål om applikationssikkerhedsinterview

Hvad er Intrusion Detection System, type:

IDS-detektionen hovedsagelig af nedenstående typer:

  • Netværksindbrudssystemer (NIDS): Et system overvåger og analyserer den indgående netværkstrafik.
  • Værtsbaserede indbrudsdetekteringssystemer (HIDS): Denne type system overvåger operativsystemfilerne.

Sammen med disse er der en delmængde af IDS-typer, hvoraf de største varianter er baseret på anomaliedetektion og signaturdetektion

  • Signaturbaseret: Denne type detektionssystem overvåger og identificerer potentielle problemer ved at analysere de specifikke mønstre såsom netværkstrafiks bytesekvenser, kendte ondsindede aktivitetssekvenser.
  • Anomali-baseret: Denne type model er baseret på en machine learning-tilgang til at opdage og tilpasse sig ukendte problemer, primært for at oprette en algoritmisk tillidsmodel og derefter sammenligne den nye ondsindede adfærd med denne tillidsmodel.

Hvad ved du om OWASP?

OWASP er kendt som Open Web Application Security Project er en organisation, der understøtter sikker softwareudvikling.

Hvilke potentielle problemer opstår, hvis sessionstokens har utilstrækkelig tilfældighed på tværs af rækkeværdier?

Sessionsafbrydelse stammer fra problemet med sessionstokens, der har utilstrækkelig tilfældighed inden for en rækkevidde.

Hvad er “SQL Injection”?

Svar: SQL-injektion er en af ​​de mest almindelige teknikker, hvor en kode indsprøjtes i SQL-udsagnene via en websideindgang, der kan ødelægge din database og potentielt udsætte alle data fra din DB.

Hvad forstår du ved SSL-session og også SSL-forbindelser?

Svar: SSL er kendt som Secured Socket Layer-forbindelse etablerer kommunikationen med peer-to-peer-link, hvor begge forbindelser opretholder SSL-session.

En SSL-session repræsenterer sikkerhedskontrakten, som i termer består af nøgle- og algoritmeaftaleoplysninger, der finder sted over en forbindelse mellem en SSL-klient, der er tilsluttet en SSL-server ved hjælp af SSL.

En SSL-session styres af sikkerhedsprotokoller, der styrer SSL-sessioners parameterforhandlinger mellem en SSL-klient og SSL-server.

Navngiv de to standardmetoder, der bruges til at beskytte en adgangskodefil?

Svar: To meget anvendte tilgange til adgangskodefilbeskyttelse er

  • hashet passwords
  • Saltværdi eller adgangskontrolfil adgangskontrol.

Hvad er IPSEC?

IPSEC, også kendt som IP-sikkerhed, er en Internet Engineering Task Force (IETF) standardprotokollesuite blandt de to forskellige kommunikationslag på tværs af IP-netværket. Det sikrer datasættets integritet, godkendelse og også fortroligheden. Det genererer de godkendte datapakker med kryptering, dekryptering.

Hvad er OSI-modellen:

OSI-modellen, også kendt som Open Systems Interconnection, er en model, der muliggør kommunikation ved hjælp af standardprotokoller ved hjælp af forskellige kommunikationssystemer. Den Internationale Standardiseringsorganisation opretter den.

Hvad er ISDN?

ISDN står for Integrated Services Digital Network, et kredsløbskoblet telefonnetværkssystem. Det giver pakkeomskiftet netadgang, som muliggør digital transmission af stemme sammen med data. Over dette netværk er kvaliteten af ​​data og stemme meget bedre end en analog enhed / telefon.

Hvad er CHAP?

CHAP, også kaldet Challenge Handshake Authentication Protocol (CHAP), som grundlæggende er en P-2-P-protokol (PPP) godkendelsesprotokol, hvor den oprindelige opstart af linket bruges. Desuden udfører den en periodisk sundhedstjek af routeren, der kommunikerer med værten. CHAP er udviklet af IETF (Internet Engineering Task Force).

Hvad er USM, og hvad udfører det?

USM står for den brugerbaserede sikkerhedsmodel, der bruges af System Management Agent til dekryptering, kryptering, dekryptering og godkendelse såvel for SNMPv3 pakker.

Nævn nogle faktorer, der kan forårsage sårbarheder?

Svar: De fleste områder, der kan forårsage de potentielle sårbarheder, er:

  • Sensitiv dataeksponering: Hvis følsomme data eller adgangskoder eksponeres eller spores af den ikke-autoriserede bruger, bliver systemet sårbart.
  • Designfejl: Kan målrette mod eventuelle fejl, hvis der i tilfælde er et løkkehul i systemdesignet.
  • Kompleksitet: Komplekse applikationer kan have områder, der kan blive sårbare.
  • Menneskelig fejl: Det er en af ​​kilderne til sikkerhedssårbarheder på grund af mange faktorer som datalækage osv.

Nævn parameterlisten for at definere SSL-sessionforbindelse?

Svar: Attributterne, som alle definerer en SSL-sessionsforbindelse, er:

  • Serveren og klienten tilfældig
  • Serveren skriver MACsecret
  • Kunden skriver MACsecret
  • Server-skrivnøglen
  • Klientens skrivenøgle
  • Initialiseringsvektorerne
  • Sekvensnumre

Hvad er filoptælling?

Svar: Det er en type problemer, hvor den kraftige browsing finder sted ved at manipulere URL'en, hvor den ikke-autoriserede bruger udnytter URL-parametrene og får følsomme data.

Hvad er fordelene ved indbrudsdetekteringssystem?

Svar: Indtrængningsdetekteringssystemet har nedenstående fordele:

  • Netværk indtrængen detektion (NIDS)
  • Network Node Intrusion Detection System (NNIDS)
  • Værtsindbrudssystemer (HIDS'er)

Basisniveau -3 || Grundlæggende || Spørgsmål om applikationssikkerhedsinterview

Hvad er Host Intrusion Detection System?

De (HIDS'er) værtsbaserede indbrudsdetekteringssystemer (HIDS'er) er applikationer, der fungerer på information indsamlet fra individuelle computersystemer og tjener på det eksisterende system og sammenlignes med det forrige spejl / øjebliksbillede af systemet og validerer for, om der er nogen datamodifikation eller manipulation er udført og genererer en alarm baseret på output.

Det kan også finde ud af, hvilke processer og brugere der er involveret i ondsindede aktiviteter.

Hvad er NNIDS?

NNIDS står for Network Node Intrusion Detection System (NNIDS), som er som et NIDS, men det gælder kun for en vært på et enkelt tidspunkt, ikke et helt undernet.

Nævn tre ubudne gæster klasser?

Der er forskellige indbrudstyper, såsom:

  • Masquerader: Denne type indtrænger er generelt en uautoriseret person på computeren, der målretter mod systemets adgangskontrol og får adgang til godkendte brugers konti.
  • Misfeasor: Denne bruger er en godkendt bruger, der har autoritet til at bruge systemressourcerne, men han har til hensigt at misbruge den samme adgang til systemet til andre operationer.
  • Clandestine: I denne type brugere kan det defineres som person, der målretter mod kontrolsystemet ved at omgå systemets sikkerhedssystem.

Nævn de komponenter, der bruges i SSL?

SSL opretter de sikre forbindelser mellem klienterne og serverne.

  • Komponenter brugt i SSL:
  • SSL-optaget protokol
  • Handshake-protokollen
  • Cipher Spec
  • Krypteringsalgoritmer

Disclaimer: Denne Spørgsmål om applikationssikkerhedsinterview tutorial post er til kun uddannelsesmæssigt formål. Vi fremmer / understøtter ikke nogen aktivitet relateret til sikkerhedsproblemer / adfærd. Den enkelte er eneansvarlig for eventuel ulovlig handling.

Om Debarghya

41 Interessante spørgsmål om applikationssikkerhedsinterviewSelv Debarghya Roy, jeg er ingeniørarkitekt, der arbejder med fortune 5-firma og en open source-bidragsyder, der har omkring 12 års erfaring / ekspertise inden for forskellige teknologistak.
Jeg har arbejdet med forskellige teknologier såsom Java, C #, Python, Groovy, UI Automation (Selenium), Mobile Automation (Appium), API / Backend Automation, Performance Engineering (JMeter, Locust), Security Automation (MobSF, OwAsp, Kali Linux , Astra, ZAP osv.), RPA, Process Engineering Automation, Mainframe Automation, Back End Development med SpringBoot, Kafka, Redis, RabitMQ, ELK stack, GrayLog, Jenkins og har også erfaring med Cloud Technologies, DevOps osv.
Jeg bor i Bangalore, Indien med min kone og har passion for blogging, musik, guitar og min livssyn er Uddannelse for alle, som fødte LambdaGeeks. Lad os oprette forbindelse via linket ind - https://www.linkedin.com/in/debarghya-roy/

en English
X