Угрозы безопасности веб-приложений.фип_БАК_ИСиТ_н/с

Скачать тест — (Угрозы безопасности веб-приложений.фип_БАК_ИСиТ_н__1679f27a.pdf)

… – совокупность факторов и условий, создающих возможность нарушения ИБ для злоумышленника.
Конкретный метод защиты может являться …, процедурой, политикой или мерой
Неверно, что угрозы в ИБ классифицируются по …
К признакам угрозы по аспекту относятся …
К признакам угрозы по расположению относятся …
К признакам угрозы по размеру ущерба относятся …
К признакам угрозы по природе возникновения относятся …
К признакам угрозы по степени воздействия на систему относятся …
Угроза … – угроза несанкционированного чтения и/или хищения информации.
Угроза … — угроза перманентной утраты доступа к информации или утраты информации в принципе
… аспекты угрозы информационной безопасности упомянуты в материале
… связана с намеренным вмешательством человека внутри системы
… описывает локальную (По размеру нанесенного ущерба) угрозу
… относятся к искусственным непреднамеренным (По природе возникновения) угрозам
… группы методов защиты НЕ входят в классификацию
Верно, что …
… методы создают препятствия на пути предполагаемого преступника
… методы шифруют данные
Какой из перечисленных методов связан с созданием четкой системы доступа к корпоративным ресурсам?
Расположите уровни ИБ в порядке возрастания их важности (без последнего не требуется предпоследний, без второго первый и т. д.):
Соотнесите вид угрозы и её признак:
Расположите угрозы по возрастанию размера ущерба при классификации по данному признаку:
Соотнесите методы защиты и их пример:
Frontend — это …
… — основная функция кода клиентской части приложения
Для отображения визуальных и … элементов сайта обычно используют код клиентской части
… называется социальной инженерией
“XSS” расшифровывается как …
XSS-атака — это атака, …
Злоумышленник может получить … с помощью успешной XSS-атаки
… указывает на возможное наличие XSS-уязвимости на сайте
Сохраняемый XSS имеет в качестве особенности то, что …
При отражённой XSS-атаке …
CSRF — это …
Аббревиатура CSRF расшифровывается как …
При CSRF-атаке …
…, злоумышленник может осуществить CSRF-атаку
В контексте HTTP-запросов …
Для защиты от CSRF атак необходимо использовать технологии …-токенов
… — основная схема атаки Clickjacking
… может(могут) быть выполнены злоумышленниками с помощью Clickjacking
… рекомендуется держать актуальным(ой/и) для защиты от атак
Соотнесите атаки с их описаниями:
Соотнесите атаки с методами их защиты:
Упорядочите этапы атаки XSS:
Серверная часть — это …
Серверную часть приложения обычно называют … (англ.)
Серверная часть приложения обычно используется для …
SQL Injection – атака, направленная на … приложения.
Атака SQL injection — это …
Атаки SQL injection стали возможны благодаря …
Кавычки в запросе SQL нужны для …
… злоумышленнику необходимо дописывать комментарий?
Основной метод защиты от sql инъекций — это …
Аббривиатура XXE расшифровывается как …
Аббривиатура DTD расшифровывается как
Атака типа XXE …
Уязвимости типа XXE могут возникать из-за …
… — условия, при соблюдении которого становится возможным осуществление атаки XXE
… является методом защиты от атак типа XXE
Атака типа Command injection — это …
Основной принцип типа атаки command injections заключается в том, что …
Атака command injection осуществляется …
Для осуществления атаки command injection необходимы …
… — методы защиты от атак типа command injection
Сопоставьте тип атаки с ее описанием:
Сопоставьте уязвимость с последствиями её реализации:
Упорядочите шаги, необходимые для выполнения SQL Injection:
Упорядочите этапы выполнения Command Injection:
Упорядочите действия злоумышленника при XXE атаке:
Сессия пользователя- это…
Сессии пользователей интересуют злоумышленников, так как …
Сессия начинается с …
Сеансы (Сессии) используются для…
Session Hijacking- это …
Атаки session hijacking похожи на …
К Session Hijacking относятся такие функции, как…
Порядок реализации (сущность) атаки Session Hijacking можно описать так: “…”
Методами защиты от Session Hijacking можно назвать
Brute force – это…
OSINT – это…
Расставьте в правильном порядке этапы атаки session hijacking:
Соотнесите атаку и метод защиты:
В web-приложениях текущим рыночным стандартом капчи является…
В reCAPCHA, как правило, используется…
Задержка ввода – это…
В качестве логина, как правило, используются…
Злоумышленники ищут номера телефонов и адреса e-mail с помощью базовых навыков в дисциплине …
… зачастую защищают при помощи задержки ввода?
Технология reCAPCHA была создана компанией …
Файловая система – это…
File Inclusion – это…
Основными типами File Inclusion являются…
Directory Traversal – это…
Доступ к файловой системе достигается…
Символ «/» в файловой системе обозначает …
… можно настроить сервер так, чтобы он не позволял доступ к критически важным директориям и файлам
Сопоставьте тип File Inclusion и его описание:
Упорядочите этапы атаки Directory Traversal:
Упорядочите действия, необходимые для успешной атаки File Inclusion:
Чтобы получить доступ к файлу etc/passwd злоумышленник может изменить ссылку http://example.com/viewfile.php?file=report.txt на…
К методам защиты от File Inclusion относятся…
К методам защиты от Directory Traversal относятся…
Метод защиты «использование абсолютных путей» эффективен против…
Метод защиты «Отключение удалённого включения файлов» эффективен против атак типа…
Злоумышленник использует специальные символы, такие как ˂…˃ (что означает «на уровень выше» в файловой системе), чтобы перемещаться по структуре каталогов.
Подтипами типа атаки … являются RFI и LFI?
Модуль viewfile.php в примере отвечает за…
Ограничение доступа можно настроить с помощью таких конфигураций web-сервера как … (введите два названия конфигураторов, упомянутых на занятии через слово «или»)
Метод защиты «использование абсолютных путей» эффективен против…
Протокол HTTPS …
… являются преимуществами от использования HTTPS
HTTPS способен защитить от атак типа …
HTTPS …
HTTPS защищает от подмены сайта следующим образом: …
DNS Spoofing – это…
HTTPS помогает защититься от DNS Spoofing следующим образом: …
Firewall – это…
Firewall защищает от атак следующим образом: …
Выделяются такие преимущества использования Firewall, как …
Существуют следующие виды Firewall: …
Firewall эффективен против атак типа …
Важность регулярного обновления по необходима, так как …
Журнал событий представляет из себя …
Журнал событий важен для таких действий, как …
Журнал событий применяется для расследования таких инцидентов, как…
Небезопасность полей ввода может привести к…
Политика кибербезопасности это…
Важность политики кибербезопасности подчёркивают такие факторы, как …
Упорядочите этапы реагирования на инциденты безопасности:
Соотнесите методы защиты с их описаниями:
В рамках последнего занятия был проведён обзор…
На занятии был рассмотрен …-skill road map
В рамках курса курса мы рассмотрели … основных направления для атак
… атак обычно рассматривалось в рамках одной темы
Сопоставьте имя нарицательное (компания, форум) и собственное
Журнал securitylab.ru принадлежит компании…
Расставьте темы для дальнейшего обучения в правильном порядке:
Как правило, при найме специалистов в сфере ИБ работодателям так же необходимо, чтобы сотрудник знал основы…
152-ФЗ регулирует…
149-ФЗ регулирует…
68-ФЗ регулирует…
98-ФЗ регулирует…
На данный момент большинство успешно реализованных атак совершаются при помощи инструментов из сферы…
Безоговорочным лидеров в сфере ИБ на российском рынке является компания…
Следующие сетевые технологии следует изучить самостоятельно для трудоустройства в сфере ИБ: …
Следующие аспекты системной безопасности следует изучить самостоятельно для трудоустройства в сфере ИБ: …
Следующие аспекты криптографии следует изучить самостоятельно для трудоустройства в сфере ИБ: …
Следующие аспекты управления инцидентами следует изучить самостоятельно для трудоустройства в сфере ИБ: …
Следующие аспекты безопасности приложений следует изучить самостоятельно для трудоустройства в сфере ИБ: …
Следующие аспекты ИБ аудита следует изучить самостоятельно для трудоустройства в сфере ИБ: …
Практика предотвращения несанкционированного (незаконного) чтения (доступа), скачивания (копирования), добавления или изменения информации, хранящейся на каком-либо устройстве или ресурсе это …
Потенциально возможное событие, которое может привести к утечке/изменению/утрате информации — это …
Угрозы, которые реализуются при помощи или халатности человека внутри системы — это…
Совокупность технологий, процедур, политик и мер, направленных на защиту информации и информационных систем от различных угроз — это…
Сетевой экран (firewall) относится к … методам защиты
Угрозы, которые для своей реализации не требуют вмешательства человека с доступом к ресурсу называются…
Угроза информационной безопасности, которую злоумышленник пытается реализовать — это …
Доступ к частной переписке без возможности её удаления или модификации относится к угрозам …
Грамотно выстроенная система доступа к внутренним ресурсам компании, исключающая возможность утечки, относится к … методам защиты
Запрет внутри компании на посещение сторонних сайтов, а также на пользование корпоративной почтой в личных целях, относится к … методам защиты
Штрафы, назначенные за нарушение внутренних регламентов безопасности, относятся к … методам защиты.
Беседы с отделом безопасности, тренинги по регламенту, а также выговоры за пренебрежение правилами — всё это … методы защиты.
Хакер получил доступ к почте сотрудника и сменил пароль к ней, так что сотрудник теперь не может зайти в почтовый ящик. Данная атака относится к угрозам …
Хакер получил доступ к персональному архиву с фото. У него есть возможность просматривать архив, но он не в состоянии удалить или модифицировать файлы. Данная атака относится к угрозам …
Хакер получил доступ к базе данных клиентов банка. Он удаляет всю базу целиком, лишая банка всех контактов. Данная атака относится к угрозам …
Потенциально возможное событие, которое может привести к утечке, изменению или утрате информации можно назвать …
Расположите угрозы по размеру ущерба от самого незначительного до наиболее обширного:
Соотнесите пример угрозы с их классификацией:
Соотнесите пример угрозы с их классификацией:
Соотнесите пример угрозы с их классификацией:
Визуальная часть приложения, которая выполняет код на машине пользователя называется:
… — это вид атаки, при котором злоумышленник встраивает вредоносный код на сайт/внутрь ссылки на сайт, что вынуждает клиентскую часть исполнить данный код, называется:
… — это вид XSS атаки в ходе которого злоумышленник добавляет вредоносный код таким образом, что код сохраняется в базе данных ресурса
… — это вид XSS атаки в ходе которого злоумышленник добавляет вредоносный код таким образом, что код не сохраняется в базе данных ресурса, но всё равно исполняется
Невидимые кнопки на сайте, которые при нажатии перенаправляют пользователя на другие ресурсы, являются атакой, которая называется …
Вид атаки на веб-приложения, которая использует доверие пользователя к веб-сайту для выполнения нежелательных действий от его имени — это…
Основной механизм работы XSS атаки — это …
Социальная инженерия — это …
Атака, в ходе которой используется вредоносный код, который встраивается в сайт, обозначается аббревиатурой …
Атака, направленная на перехват нажатий пользователя с целью его перехода на внешний ресурс, обозначается английским словом …
Для защиты от CSRF атак необходимо использовать технологии … — токенов
Если при атаке типа XSS вредоносный код остаётся в базе данных ресурса, мы можем утверждать, что данная атака относится к … виду XSS атак
Если после XSS атаки вредоносный код выполнился, но не остался в базе данных ресурсы, то данная атака относится к … виду XSS атак
Прозрачные или поддельные кнопки на сайтах — основной инструмент атак типа …
Атака XSS отличается от атаки типа … тем, что в случае последнего вредоносный код хранится на стороннем сайте
Клиентская часть приложения, которая выполняет код на машине пользователя и, как правило, отвечает за визуальную часть сайта, обозначается английским термином …
Соотнесите атаки с их описаниями:
Упорядочьте этапы атаки XSS:
Соотнесите атаки с методами их защиты:
Атаки типа XSS, CSRF и Clickjacking относятся к атакам на … часть
Часть приложения, которая выполняется не на машине пользователя, а на сервере — это …
Атака, направленная на базу данных приложения, которая заставляет сервер выполнить код злоумышленника, это …
Атака на веб-приложения, использующая уязвимые входные данные для выполнения произвольных команд на сервере, это …
Атака на приложения, обрабатывающие XML данные, которая использует уязвимости, появляющиеся из-за ссылок на внешние ресурсы, это …
При инъекциях запросов в базы данных используется язык …
XXE атаки используют уязвимости, которые возникают в приложениях, работающих с…
Атаки типа SQL Injection используют существующий в языке SQL символ…
Язык SQL активно используется в…
Атака типа … использует уязвимые входные данные на сервере, чтобы выполнять различные команды.
Приложения, обрабатывающие XML данные, наиболее уязвимы для атак типа …
Для атак на базы данных чаще всего используются атаки типа …
Атаки типа SQL Injection, XXE и Command injection относятся к атакам на … часть
Серверная часть приложения, обычно скрытая от пользователя, обозначается английским термином…
Для запросов в базах данных используется специальный язык …
Атака типа XXE используется для атак на приложения, обрабатывающие … данные
В XML существуют внешние сущности, ссылающиеся на внешние ресурсы, некоторые значения которых загружаются из …-файлов
Сопоставьте описание атаки с её типом:
Сопоставьте тип атаки с последствиями её реализации:
Упорядочьте шаги, необходимые для выполнения атаки SQL Injection:
Расположите по порядку этапы выполнения атаки Command Injection:
Временной промежуток, в течении которого пользователь взаимодействует с веб-приложением, называется …
Атака направленная на перехват текущего сеанса взаимодействия пользователя с ресурсом называется …
Атака, направленная на последовательный подбор данных авторизации пользователя называется …
Прослушивание уязвимых каналов связи через незащищенную сеть Wi-Fi можно отнести к такому типу атаки, как …
Использование ненадежного VPN может сделать систему уязвимой к такому типу атаки, как …
Ручной или автоматизированный перебор учетных данных для взлома почтового ящика пользователя — типичный пример атаки типа …
Введение капчи, ставшее обязательной на многих сайтах, является довольно эффективным методом защиты от атак типа …
Сессия пользователя используется для …
При осуществлении атаки типа … злоумышленник перехватывает активный в данный момент сеанс пользователя
Получение несанкционированного доступа к конкретному аккаунту путем подбора данных авторизации — это атака типа …
Избегание небезопасных сетей и регулярное обновление ПО — основные способы защиты от атак типа …
Задержка ввода и ввод капчи используются, как эффективная защита от атак типа …
Чтобы пользователям не приходилось каждый раз вводить данные, для входа используются …
Атаки Session Hijacking и Brute Force — основные типы атак на …
Частными случаями атак типа Session Hijacking можно считать атаки типа XSS и …
Текущий стандарт капчи в web-приложений имеет название …
Соотнесите тип атаки и метод защиты от нее:
Расставьте в правильном порядке этапы реализации атаки типа Session hijacking:
Расположите по порядку этапы выполнения атаки типа XXE:
Сопоставьте метод защиты от атаки с соответствующим её типом:
Логика, при помощи которой компьютер может корректно хранить и сортировать информацию называется …
Уязвимость, которая позволяет злоумышленнику встраивать и/или просматривать произвольные файлы на сервере, называется …
Атака, которая позволяет злоумышленнику получить доступ к файловой системе сервера, обходя ограничения, установленные приложением, называется:
File Inclusion — это атака, нацеленная на…
SQL injection — это атака, нацеленная на…
Brute Force — это атака, нацеленная на…
Clickjacking — это атака, нацеленная на …
Для своей реализации атака типа Directory Traversal манипулирует параметрами…
Уязвимость, которая позволяет злоумышленнику встраивать и/или просматривать произвольные файлы на сервере это …
Тип уязвимости в веб-приложениях, который позволяет злоумышленнику получить доступ к файловой системе сервера, обходя ограничения, установленные приложением это …
Структура, используемая операционной системой для хранения и организации файлов в хранилище это …
Специальный символ “../” означает “На уровень …”
Ограничение доступа к критически важным директориям является важным методом защиты от атак типа …
Отключение удаленного включения файлов позволит защитить систему от атак типа …
Существует два основных вида атак типа File Inclusion: Local File Inclusion и … File Inclusion
Directory Traversal обходит ограничения, установленные приложением путем манипуляции параметрами …
Расположите по порядку этапы атаки типа Directory Traversal
Расположите по порядку этапы атаки типа File Inclusion
Сопоставьте вид атаки типа File Inclusion с его отличительной чертой
Сопоставьте метод защиты с типом атаки, от которой он защищает
Расширение, которое обеспечивает защищенную передачу данных между веб-сервером и клиентом обозначается аббревиатурой …
Система безопасности, которая контролирует и фильтрует входящий и исходящий сетевой трафик на основе заранее установленных правил это …
Инструмент, который записывает все значимые действия и события, происходящие в системе или сети, это …
Splunk это …
Graylog это…
OSSEC это…
Nagios это…
Набор правил, процедур и стандартов, направленных на защиту информационных активов организации, называется …
… определяет, как должны обрабатываться данные, кто имеет доступ к информации, и какие меры безопасности должны быть предприняты для защиты от угроз
… включает в себя информацию о входах и выходах пользователей, изменениях в системных настройках, попытках доступа к ресурсам и других важных событиях
… служит защитным барьером между внутренней сетью (например, корпоративной) и внешними источниками (например, интернетом).
Атака, при которой атакующий может попытаться перехватить данные между клиентом и сервером, называется…
Чтобы сделать данные недоступными для третьих лиц, HTTPS использует…
Физические устройства, которые устанавливаются между сетью и интернетом — это … firewall-ы
Firewall, который обрабатывают трафик от имени клиента, фильтруя его и обеспечивая дополнительный уровень безопасности, называется …-firewall
Популярный инструмент для аудита системных событий на Linux-системах это …
Сопоставьте метод защиты с атакой, от которой он защищает
Сопоставьте вид Firewall с его описанием
Упорядочьте этапы реагирования на инциденты безопасности:
98-ФЗ регулирует …