41 Kagiliw-giliw na Mga katanungan sa pakikipanayam sa seguridad ng Application

Mga katanungan sa panayam sa seguridad ng aplikasyon

Tatalakayin natin sa paligid Mga katanungan sa panayam sa seguridad ng aplikasyon/Pagsusulit sa mga tanong sa panayam sa pagsubok na binubuo ng isang listahan ng Karamihan sa Madalas Itanong mga katanungan tungkol sa seguridad at natakpan din Mga Katanungan sa Panayam ng Security Engineer at mga katanungan sa panayam sa cyber security:

Mga Tanong sa panayam sa Security ng Application
Mga Tanong sa panayam sa Security ng Application

Kritikal || Mga katanungan sa panayam sa seguridad ng aplikasyon

Major || Mga katanungan sa panayam sa seguridad ng aplikasyon

Batayan || Mga katanungan sa panayam sa seguridad ng aplikasyon

Base Level -1 || Kritikal || Mga katanungan sa panayam sa seguridad ng aplikasyon

Paano hahawakin ng isang HTTP na programa ang estado?

Ang HTTP na isang walang estado na protokol ay gumagamit ng cookies upang hawakan ang estado ng web application. Maaaring hawakan ng HTTP ang estado ng web application sa mga diskarte sa ibaba at pinapanatili ang session:

  • Panig ng kliyente
  • Sa panig ng server.

Maaaring maiimbak ang data sa cookies o sa sesyon ng web server.

Ano ang naiintindihan mo sa pamamagitan ng Cross Site Scripting o XSS?

Ang Cross-site Scripting na dinaglat bilang XSS ay isang isyu sa iniksyon na code ng panig ng client kung saan nilalayon ng hindi pinapahintulutang gumagamit na magpatupad ng mga nakakahamak na script sa web browser ng gumagamit sa pamamagitan ng pagsasama ng nakakahamak na code sa isang web application at samakatuwid kapag binisita ng gumagamit ang web application na iyon pagkatapos ay ang nakakahamak naisakatuparan ang code na nagreresulta sa cookies, mga token ng session kasama ang iba pang sensitibong impormasyon na nakompromiso.

Ano ang mga uri ng XSS?

Mayroong pangunahing tatlong magkakaibang mga kategorya ng XSS:

Sinasalamin XSS: Sa pamamaraang ito, ang nakakahamak na script ay hindi nakaimbak sa database sa kaso ng kahinaan na ito; sa halip, nagmula ito sa kasalukuyang kahilingan sa HTTP.

Nakaimbak na XSS: Ang mga kahina-hinalang script ay naimbak sa Database ng web application at maaaring masimulan mula doon sa pamamagitan ng nakakaapekto na pagkilos ng tao sa maraming paraan tulad ng field ng komento o mga forum ng talakayan, atbp.

DOM XSS: Sa DOM (Modelong Bagay ng Dokumento) XSS, umiiral ang mga potensyal na isyu sa loob ng client-side code sa halip na ang server-side code. Dito sa ganitong uri, ang nakakahamak na script ay dumadaloy sa browser at kumikilos bilang isang source script sa DOM.

Ang potensyal na epekto na ito ay lumitaw kapag ang isang code sa panig ng client ay nagbabasa ng data mula sa DOM at pinoproseso ang data na ito nang hindi sinasala ang input.

Ano ang top top ng owasp 10 ng 2021?

  • Ang Iniksyon
  • Ang Broken Authentication
  • Ang Sensitive Exposure ng Data
  • Ang XML External Entities (XXE)
  • Ang Broken Access Control
  • Ang Mga Maling pagkumpigurong Security
  • Ang Cross-Site Scripting (XSS)
  • Ang Insecure Deserialization
  • Ang Paggamit ng Mga Sangkap na May Kilalang Mga Kakulangan
  • Ang Hindi Sapat na Pag-log at Pagsubaybay

Nabanggit ang pamamaraan ng pag-rate ng panganib sa pag-uusap?

Ang mga pamamaraan ng pag-rate ng peligro ng Owasp ay pinaghiwalay sa iba't ibang mga layer, tulad ng:

  • Layer ng Mga Pagkakakilanlan sa Panganib sa System
  • Pinagmulan ng pagtatantiya ng mekanismo ng Panganib
  • Pagtataya ng epekto at pagsusuri
  • Pagtukoy ng kalubhaan sa peligro.
  • Mga diskarte sa pagpapagaan ng peligro.

Ipaliwanag kung paano gumagana ang tracert o tracerout?

Ang Tracerout o tracert bilang pangalan ay nagmumungkahi ng karaniwang mga monitor at pag-aralan ang ruta sa pagitan ng host machine sa remote machine. gumaganap ito ng mga aktibidad sa ibaba:

  • Ang mga sinusubaybayan at kinikilala ang mga packet ng data ay na-redirect o hindi.
  • Pag-aralan ang bilis ng traversal ng mga packet ng data.
  • Pag-aralan ang mga numero ng Hops na ginagamit habang ang data packet traversal mula at sa host at mga remote machine

Ano ang ICMP?

ICMP kumakatawan sa Internet Control Message Protocol, na matatagpuan sa layer ng Network ng modelo ng OSI, at isang mahalagang bahagi ng TCP / IP.

Aling port ang para sa ICMP o pinging?

Hindi nangangailangan ng anumang port ang Ping at gumagamit ng ICMP. Ginagamit ito upang makilala kung ang remote host ay nasa isang aktibong katayuan o hindi, at kinikilala rin nito ang pagkawala ng packet at pagkaantala ng pag-ikot habang nasa loob ng komunikasyon.

Nabanggit ang listahan ng mga hamon para sa matagumpay na pag-deploy at pagsubaybay sa pagtuklas ng panghihimasok sa web?

  • Mga limitasyon para sa NID para sa pagsubaybay sa web, ibig sabihin (mga isyu sa semantiko habang nauunawaan ang HTTP, SSL)
  • Mga hamon habang nagla-log ang pagiging walang katuturan ng pag-log (Mod_Security audit_log)
  • Ang Sentralisadong Remote Logging
  • Ang Mga Mekanismo ng Alerto
  • Habang ang pag-update ng Mga Lagda / Patakaran

Nabanggit ang peligro na nagsasangkot mula sa hindi siguradong mga cookies ng HTTP na may mga token?

Ang pag-access sa Paglabag sa Pag-access ay napalitaw kapag hindi nag-flag ng mga cookies ng HTTP kasama ang mga ligtas na token.

Nabanggit ang pangunahing disenyo ng OWASP ESAPI?

Ang pangunahing disenyo ng OWASP ESAPI ay:

  • Ang pangkat ng mga interface ng control control
  • Isang pagpapatupad ng sanggunian para sa bawat kontrol sa seguridad.
  • Isang pagpipilian para sa pagpapatupad para sa bawat samahan na inilapat sa bawat kontrol sa seguridad.

Ano ang pag-scan sa port?

Ang pag-scan ng mga port upang matuklasan na maaaring may ilang mga mahihinang puntos sa system kung saan maaaring i-target at hilahin ng hindi pinapahintulutang gumagamit ang ilang kritikal at sensitibong impormasyon sa data.

Nabanggit ang iba't ibang mga uri ng mga pag-scan sa port?

  • Strobe: Ang pag-scan ng strobe ay karaniwang ginagawa ng mga kilalang serbisyo.
  • UDP: Dito, sa kasong ito, ang pag-scan ng bukas na mga port ng UDP
  • Vanilla: Sa ganitong uri ng pag-scan ang nagpasimula ng scanner ng koneksyon sa lahat ng mga magagamit na 65,535 port.
  • Walisin: Sa ganitong uri ng pag-scan sinasimulan ng scanner ang koneksyon sa parehong port sa maraming mga machine.
  • Mga fragment packet: Sa ganitong uri ng pag-scan ang mismong scanner ang nag-iingat sa pagpapadala ng mga fragment ng packet na dumaan sa simpleng mga filter ng packet sa isang firewall.
  • Stealth scan: Sa ganitong uri ng diskarte sa pag-scan, hinaharangan ng scanner ang mga na-scan na makina mula sa pagtatala ng mga aktibidad sa port scan.
  • FTP bounce: Sa ganitong uri ng pag-scan ng mga ruta ng scanner sa pamamagitan ng isang FTP server upang makilala ang pinagmulan ng pag-scan.

Ano ang isang honeypot?

Ang honeypot ay isang computer system na gumagaya sa mga malamang na target ng mga isyu sa cyber. Karaniwang ginagamit ang Honeypot para sa pagtuklas at pagpapalihis ng kahinaan mula sa isang lehitimong target.

Kabilang sa Windows at Linux alin ang nagbibigay ng seguridad?

Parehong ng OS at may kalamangan at kahinaan. Gayunpaman, alinsunod sa pag-aalala sa seguridad, ang karamihan sa pamayanan ay ginusto na gamitin ang Linux dahil nagbibigay ito ng higit na kakayahang umangkop at seguridad kumpara sa Windows, isinasaalang-alang na maraming mga mananaliksik sa seguridad ang nag-ambag sa pag-secure ng Linux.

Alin ang higit na ipinatupad na protocol sa isang pahina sa pag-login?

Ang TLS / SSL protocol ay ipinatupad sa karamihan ng mga sitwasyon habang ang data ay nasa mga layer ng paghahatid. Ito ay dapat gawin upang makamit ang pagiging kompidensiyal at integridad ng kritikal at sensitibong data ng gumagamit sa pamamagitan ng paggamit ng pag-encrypt sa layer ng paghahatid.

Ano ang cryptography na susi ng publiko?

Ang Public Key Cryptography (PKC), na kilala rin bilang asymmetric cryptography, ay isang cryptography protocol na nangangailangan ng dalawang magkakahiwalay na hanay ng mga susi, ibig sabihin, isang pribado at isa pa ay pampubliko para sa pag-encrypt ng data at pag-decryption.

Ilahad ang pagkakaiba sa pagitan ng pribado at publikong-key cryptography habang ginaganap ang pag-encrypt at pag-sign nilalaman?

Sa kaso ng digital na pag-sign, gumagamit ang nagpadala ng pribadong key upang lagdaan ang data at sa kabilang banda ang tatanggap na nagpapatunay at nagpapatunay ng data gamit ang pampublikong key ng mismong nagpadala.

Habang nasa pag-encrypt, ang nagpadala ay naka-encrypt ang data gamit ang pampublikong key ng tatanggap at tatanggapin ang decrypt at napatunayan ito gamit ang kanyang pribadong key.

Nabanggit ang pangunahing aplikasyon ng public-key cryptography?

Ang mga pangunahing kaso ng paggamit ng pampublikong-key cryptography ay:

  • Pag-sign sa digital - Digital na nilagdaan ang nilalaman.
  • Pag-encrypt- Pag-encrypt ng nilalaman na may pampublikong key.

Talakayin ang tungkol sa mga isyu sa Phishing?

Sa Phishing, ipinakilala ang pekeng web page upang linlangin ang gumagamit at manipulahin siya upang magsumite ng kritikal at sensitibong impormasyon.

Anong diskarte ang maaari mong gawin upang ipagtanggol ang mga pagtatangka sa phishing?

Ang pagpapatunay at pagpapatunay ng mga kahinaan ng XSS at header ng referer ng HTTP ay ilang mga pamamaraang pagpapagaan laban sa phishing.

Paano ipagtanggol laban sa maraming mga pagtatangka sa pag-login?

Mayroong iba't ibang mga diskarte upang ipagtanggol laban sa maraming mga pagtatangka sa pag-login, tulad ng:

  • Ang paglikha ng patakaran sa lockout ng account batay sa maraming bilang ng mga pagtatangka at pagsubok upang ma-access ang account.
  • Ang pagpapatupad ng pagpapaandar na batay sa Captcha sa pahina ng pag-login upang makilala at makilala ang pagkakaiba sa pagitan ng Tao o BOT.

Ano ang Pagsubok sa Seguridad?

Ang pagsubok sa seguridad ay isa sa mga pangunahing mahalagang lugar ng pagsubok upang makilala ang mga posibleng kahinaan sa anumang software (anumang system o web o networking o Mobile o anumang iba pang mga aparato) batay sa application at protektahan ang kanilang kumpidensyal at sesitive na mga hanay ng data mula sa mga potensyal na peligro at mga nanghihimasok.

Ano ang "Vulnerability"?

Sagot: Ang kahinaan ay isinasaalang-alang bilang kahinaan / bug / pagkukulang sa anumang system kung saan maaaring i-target ng isang hindi awtorisadong gumagamit ang system o ang gumagamit na gumagamit ng application.

Ano ang Intrusion Detection?

Sagot: Ang IDS o sistema ng pagtuklas ng panghihimasok ay isang software o aplikasyon ng hardware na sinusubaybayan ang isang network para sa hindi naaprubahang aktibidad o mga paglabag sa patakaran. Sa ilalim ng mga sitwasyong ito karaniwang naiulat ito at nalulutas gamit ang impormasyong panseguridad at kaukulang system ng pamamahala ng kaganapan.

Ilang mga sistema ng Pagtuklas ng Intrusion ay may sapat na kakayahang tumugon sa napansin na panghihimasok sa pagtuklas, na kilala bilang mga sistema ng pag-iwas sa panghihimasok (IPS).

Base Level -2 || Major || Mga katanungan sa panayam sa seguridad ng aplikasyon

Ano ang Intrusion Detection System, uri:

Pangunahing ang Pagtuklas ng IDS ng mga uri sa ibaba:

  • Mga sistema ng panghihimasok ng panghihimasok sa network (NID): Sinusubaybayan at sinusuri ng isang system ang papasok na trapiko sa network.
  • Mga sistema ng panghihimasok ng panghihimasok na nakabatay sa host (HIDS): Sinusubaybayan ng ganitong uri ng system ang mga file ng operating system.

Kasama ng mga ito, mayroong isang subset ng mga uri ng IDS, kung saan ang mga pangunahing pagkakaiba-iba ay batay sa pagtuklas ng anomalya at pagtuklas ng pirma

  • Batay sa lagda: Sinusubaybayan at kinikilala ng uri ng sistema ng pagtuklas ang mga potensyal na isyu sa pamamagitan ng pagsusuri ng mga tukoy na pattern tulad ng mga pagkakasunud-sunod ng byte ng trapiko sa network, mga kilalang pagkakasunud-sunod na nakakasamang aktibidad.
  • Batay sa Anomaly: Ang ganitong uri ng modelo ay batay sa diskarte sa pag-aaral ng makina upang makita at umangkop sa mga hindi kilalang isyu, pangunahin upang lumikha ng isang modelo ng algorithm na tiwala at pagkatapos ihambing ang bagong nakakahamak na pag-uugali laban sa modelo ng pagtitiwala na ito.

Ano ang nalalaman mo tungkol sa OWASP?

Ang OWASP ay kilala bilang Open Web Application Security Project ay isang samahan na sumusuporta sa ligtas na pag-unlad ng software.

Anong mga potensyal na isyu ang nagmumula kung ang mga token sa session ay walang sapat na pagiging random sa kabuuan ng mga halaga ng saklaw?

Ang panunuyo sa sesyon ay nagmumula sa isyu sa mga token ng session na walang sapat na pagiging random sa loob ng isang halaga ng saklaw.

Ano ang "SQL Powder"?

Sagot: Ang SQL injection ay isa sa mga pinaka-karaniwang diskarte kung saan ang isang code ay na-injected sa mga pahayag ng SQL sa pamamagitan ng isang web page input na maaaring sirain ang iyong database at potensyal na ilantad ang lahat ng data mula sa iyong DB.

Ano ang naiintindihan mo sa pamamagitan ng session ng SSL at pati na rin ang mga koneksyon sa SSL?

Sagot: Kilala ang SSL bilang koneksyon ng Secured Socket Layer na nagtatatag ng komunikasyon sa link ng peer-to-peer na mayroong parehong koneksyon na nagpapanatili ng SSL Session.

Kinakatawan ng isang sesyon ng SSL ang kontrata sa seguridad, na kung saan sa mga tuntunin ay binubuo ng impormasyon ng kasunduan sa key at algorithm na nagaganap sa isang koneksyon sa pagitan ng isang SSL client na konektado sa isang SSL server na gumagamit ng SSL.

Ang isang session ng SSL ay pinamamahalaan ng mga security protocol na kumokontrol sa mga negosasyong parameter ng mga session ng SSL sa pagitan ng isang SSL client at SSL server.

Pangalanan ang dalawang karaniwang diskarte na ginagamit upang magbigay ng proteksyon sa isang file ng password?

Sagot: Dalawang pangunahing inilapat na mga diskarte para sa proteksyon ng file ng file ay

  • Hashed mga password
  • Halaga ng asin o control file access ng password.

Ano ang IPSEC?

Ang IPSEC na kilala rin bilang seguridad ng IP ay isang pamantayang karaniwang mga protocol ng Internet Engineering Task Force (IETF) sa dalawang magkakaibang mga layer ng komunikasyon sa buong network ng IP. Tinitiyak nito ang integridad ng dataset, pagpapatotoo at pati na rin ang pagiging kompidensiyal. Bumubuo ito ng mga napatunayan na packet ng data na may pag-encrypt, decryption.

Ano ang modelo ng OSI:

Ang modelo ng OSI na kilala rin bilang Open Systems Interconnection, ay isang modelo na nagbibigay-daan sa komunikasyon gamit ang mga karaniwang protokol sa tulong ng magkakaibang mga system ng komunikasyon. Lumilikha ito ng International Organization for Standardization.

Ano ang ISDN?

Ang ISDN ay nangangahulugang Integrated Services Digital Network, isang circuit-switch na sistema ng network ng telepono. Nagbibigay ito ng pag-access ng mga nakabukas na network na packet na nagbibigay-daan sa digital na paghahatid ng boses kasama ang data. Sa network na ito, ang kalidad ng data at boses ay mas mahusay kaysa sa isang analog na aparato / telepono.

Ano ang KAB?

Angapters, na tinukoy din bilang Challenge Handshake Authentication Protocol (CHAP) na karaniwang isang P-2-P protocol (PPP) na pagpapatotoo na proteksyon kung saan ginagamit ang paunang pagsisimula ng link. Gayundin, nagsasagawa ito ng isang pana-panahong pagsusuri sa kalusugan ng router na nakikipag-usap sa host. Ang CHAP ay binuo ng IETF (Internet Engineering Task Force).

Ano ang USM, at ano ang ginagawa nito?

Ang USM ay kumakatawan sa Modelong Security na nakabatay sa User, ay ginagamit ng System Management Agent para sa decryption, pag-encrypt, decryption, at pagpapatotoo pati na rin para sa SNMPv3 mga packet

Nabanggit ang ilang mga kadahilanan na maaaring maging sanhi ng mga kahinaan?

Sagot: Ang karamihan ng mga lugar na maaaring maging sanhi ng mga potensyal na kahinaan ay:

  • Sensitibong pagkakalantad ng data: Kung ang anumang sensitibong data o password ay inilantad o sinusubaybayan ng hindi awtorisadong gumagamit, kung gayon ang system ay magiging mahina.
  • Mga depekto sa disenyo: Maaaring ma-target ang anumang mga bahid kung sakaling may anumang butas ng loop sa disenyo ng system.
  • Pagiging kumplikado: Ang mga kumplikadong aplikasyon ay maaaring magkaroon ng mga lugar na maaaring maging mahina.
  • Human Error: Ito ay isa sa mga mapagkukunan ng mga kahinaan sa seguridad dahil sa maraming mga kadahilanan tulad ng pagtagas ng data atbp.

Nabanggit ang listahan ng mga parameter upang tukuyin ang koneksyon sa session ng SSL?

Sagot: Ang mga katangiang tinukoy ng lahat ng isang koneksyon sa session ng SSL ay:

  • Ang Server at client random
  • Isulat ng Server ang MACsecret
  • Ang Client ay sumulat ng MACsecret
  • Ang susi ng pagsulat ng Server
  • Ang susi sa pagsulat ng kliyente
  • Ang Initialization vector
  • Mga numero ng pagkakasunud-sunod

Ano ang enumerasyon ng file?

Sagot: Ito ay isang uri ng mga isyu kung saan nagaganap ang malakas na pag-browse sa pamamagitan ng pagmamanipula ng URL kung saan pinagsamantalahan ng hindi awtorisadong gumagamit ang mga parameter ng URL at makakuha ng sensitibong data.

Ano ang mga kalamangan ng sistemang panghihimasok ng panghihimasok?

Sagot: Ang sistema ng pagtuklas ng Intrusion ay may mga kalamangan sa ibaba:

  • Network Intrusion Detection (NID)
  • Network Node Intrusion Detection System (NNIDS)
  • Mga Sistema ng Pagtuklas ng Intrusion ng Host (HIDSs)

Antas ng Batayan -3 || Batayan || Mga katanungan sa panayam sa seguridad ng aplikasyon

Ano ang Host Intrusion Detection System?

Ang (HIDs) Host-based intrusion detection system (HIDs) ay mga application na nagpapatakbo sa impormasyong nakolekta mula sa mga indibidwal na system ng computer at nagsisilbi sa umiiral na system at ihinahambing sa nakaraang mirror / snapshot ng system at napatunayan kung mayroong anumang pagbabago sa data o pagmamanipula. ay nagawa at bumubuo ng isang alerto batay sa output.

Maaari rin nitong malaman kung aling mga proseso at gumagamit ang nasasangkot sa mga nakakahamak na aktibidad.

Ano ang NNID?

Ang NNID ay nangangahulugang Network Node Intrusion Detection System (NNIDS), na tulad ng isang NID, ngunit nalalapat lamang ito sa isang host sa isang solong oras, hindi isang buong subnet.

Nabanggit ang tatlong nanghihimasok klase?

Mayroong iba't ibang mga uri ng nanghihimasok, tulad ng:

  • Masquerader: Ang ganitong uri ng nanghihimasok sa pangkalahatan ay isang hindi awtorisadong indibidwal sa computer na nagta-target sa kontrol sa pag-access ng system at nakakakuha ng pag-access sa mga napatunayan na mga account ng gumagamit.
  • Misfeasor: Ang gumagamit na ito ay isang napatunayan na gumagamit na may awtoridad na gamitin ang mga mapagkukunan ng system, ngunit balak niyang maling gamitin ang parehong pag-access sa system para sa iba pang mga pagpapatakbo.
  • Clandestine: Sa ganitong uri ng mga gumagamit, Maaari itong tukuyin bilang indibidwal na nagta-target sa control system sa pamamagitan ng pag-bypass ng system ng seguridad ng system.

Nabanggit ang mga sangkap na ginamit sa SSL?

Itinatag ng SSL ang mga ligtas na koneksyon sa mga kliyente at server.

  • Mga sangkap na ginamit sa SSL:
  • Ang SSL Recorded na protocol
  • Ang Handshake na protocol
  • Ang Cipher Spec
  • Mga algorithm ng pag-encrypt

Disclaimer: ito Mga katanungan sa panayam sa seguridad ng aplikasyon tutorial post ay para sa hangaring pang-edukasyon lamang. Hindi namin isinusulong / sinusuportahan ang anumang aktibidad na nauugnay sa mga isyu sa seguridad / pag-uugali. Ang indibidwal ay responsable lamang para sa anumang iligal na kilos kung mayroon man.

Tungkol kay Debarghya

41 Kagiliw-giliw na Mga katanungan sa pakikipanayam sa seguridad ng ApplicationAng Sarili kong Debarghya Roy, ako ay isang Engineering ARCHITECT na nagtatrabaho kasama ang fortune 5 na kumpanya at isang open source na nag-aambag, pagkakaroon ng humigit-kumulang 12 taong karanasan / kadalubhasaan sa iba't ibang stack ng Teknolohiya.
Nagtrabaho ako sa iba't ibang mga teknolohiya tulad ng Java, C #, Python, Groovy, UI Automation (Selenium), Mobile Automation (Appium), API / Backend Automation, Performance Engineering (JMeter, Locust), Security Automation (MobSF, OwAsp, Kali Linux , Astra, ZAP atbp), RPA, Process Engineering Automation, Mainframe Automation, Back End Development na may SpringBoot, Kafka, Redis, RabitMQ, ELK stack, GrayLog, Jenkins at mayroon ding karanasan sa Cloud Technologies, DevOps atbp.
Nakatira ako sa Bangalore, India kasama ang aking asawa at may hilig sa Blogging, musika, pagtugtog ng gitara at ang aking Pilosopiya ng buhay ay Edukasyon para sa Lahat na nagbigay ng kapanganakan ng LambdaGeeks. Hinahayaan nating kumonekta sa loob ng naka-link - https://www.linkedin.com/in/debarghya-roy/

en English
X