Đề thi và đáp án môn Bảo mật web 2

Linh Nhi

Thành viên thân thiết
Thành viên thân thiết
Tham gia
20/7/2015
Bài viết
1.309

Thời gian: 60 phút.

Được phép sử dụng tài liệu giấy.

1. Phát biểu nào sau đây đúng?

a) SQL Injection là một kỹ thuật khai thác lỗ hổng bảo mật xảy ra ở tầng cơ sở dữ liệu của một ứng ụng.

b) SQL Injection Attack thay đổi các câu lệnh SQL được tạo ra trong ứng dụng.

c) Câu a, b đúng.

d) Câu a, b sai.

2. Lỗ hổng bảo mật nào làm cho ứng dụng dễ bị tấn công SQL Injection:

a) Không kiểm tra kiểu hoặc ép kiểu mạnh (strongly typed) User input.

b) Không lọc lại User Input để tránh trường hợp các chuỗi ký tự đặc biệt được nhúng vào trong câu lệnh SQL.

c) Câu a, b đúng.

d) Câu a, b sai.

3. Các cơ chế tiêm nhiễm trong SQL Injection gồm có:

a) Thông qua user input (HTTP GET/POST) và cookies.

b) Thông qua user input (HTTP GET/POST).

c) Thông qua cookies.

d) Tất cả đều sai

4. Tấn công SQL Injection gồm có mấy giai đoạn?

a) 2

b) 3

c) 4

d) 5

5. Các ký tự đặc biệt (được in đậm) cần phải lọc khỏi User Input để tránh SQL Injection:

a) , , / , \ , ; , NULL

b) , , ( , ) , ? , NULL

c) * , / , \ , ; , NULL

d) # , / , \ , ; , NULL

6. OWASP là thuật ngữ viết tắt của

a) Open Web Application Security Process.

b) Open Web Application Security Project.

c) Open Web Application Server Project.

d) Tất cả đều sai.

7. OWASP Top 10 ra đời vào năm

a) 2007.

b) 2010.

c) 2003.

d) 2013.

8. Lỗ hổng bảo mật “Sensitive Data Exposure” trong OWASP Top 10 – 2013 là sự tổng hợp các lỗ hổng bảo mật nào trong các phiên bản OWASP Top 10 cũ:

a) Insecure Cryptographic Storage, Insufficient Transport Layer Protection.

b) Insecure Cryptographic Storage, Failure to Restrict URL Access

c) Security Misconfiguration, Failure to Restrict URL Access.

d) Insufficient Transport Layer Protection, Security Misconfiguration.

9. Mục tiêu của các tấn công khai thác lỗ hổng Cross-Site Scripting XSS gồm có:

a) Client truy cập vào Server.

b) Browser.

c) Doanh nghiệp sử dụng server.

d) Tất cả đều đúng.

10. Nguyên nhân chính dẫn đến ứng dụng Web bị tấn công XSS:

a) Người dùng duyệt các trang Web không hợp lệ.

b) Ứng dụng Web không kiểm tra tính hợp lệ dữ liệu nhập của người dùng.

c) Tất cả đều đúng.

d) Tất cả đều sai.

11. Trong cơ chế xác thực theo đặc tả HTTP, phát biểu nào sau đây đúng?

a) Basic Access Authentication bảo mật tốt hơn Digest Access Authentication.

b) Digest Access Authentication bảo mật tốt hơn Basic Access Authentication.

c) Basic Access Authetication dùng hàm băm MD5.

d) Tất cả đều sai

12. Trong vấn đề xác thực, những kỹ thuật điều khiển truy xuất chính gồm có:

a) Discretionary Access Control, Mandatory Access Control, Rule-Based Access Control.

b) Discretionary Access Control, Mandatory Access Control, Organization-Based Access Control.

c) Discretionary Access Control, Mandatory Access Control, Role-Based Access Control.

d) Tất cả đều đúng.

13. Trong vấn đề xác thực, phát biểu nào sau đây đúng?

a) Kỹ thuật MAC bảo vệ dữ liệu tốt hơn kỹ thuật DAC.

b) Sử dụng DAC thì “covert channel” là bài toán rất phức tạp nhằm giải quyết yếu điểm của DAC.

c) Câu a, b đúng.

d) Câu a, b sai.

14. Trong vấn đề xác thực, phát biểu nào sau đây đúng?

a) Kỹ thuật RBAC thích hợp cả cho các ứng dụng trong môi trường Web.

b) Kỹ thuật RBAC chỉ sử dụng cho các ứng dụng trong môi trường Web.

c) Kỹ thuật RBAC không được sử dụng cho các ứng dụng trong môi trường Web.

d) Tất cả đều sai.

15. Với cơ chế MAC thì phát biểu nào sau đây sai?

a) Users có thể kiểm soát các quyền trên các dữ liệu mà họ tạo ra.

b) MAC còn có tên gọi khác là “multilevel-schema databases access control models”.

c) Câu a, b đúng.

d) Câu a, b sai.

16. Mô hình DAC không thể bảo vệ hệ thống tránh lại các tấn công từ:

a) Trojan Horse.

b) Malware.

c) Software Bugs.

d) Tất cả đều đúng.

17. Mô hình Bell-LaPadula gồm có 2 tính chất:

a) No read-up & no write-down

b) No read-down & no write-up

c) No write-up and no read-down

d) Read-up and write-down

18. Trong mô hình Bell-LaPadula, tính chất sao (* property) là tên gọi khác của:

a) Tính chất no read-up.

b) Tính chất no write-down.

c) Tính chất no write-up

d) Tính chất no read-down

19. Tính chất no write-down trong mô hình Bell-LaPadula đảm bảo:

a) Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) ≥ class(O).

b) Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) > class(O).

c) Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) < class(O).

d) Một chủ thể S không được phép ghi vào đối tượng O trừ khi class(S) ≤ class(O).

20. Tính chất no read-up trong mô hình Bell-LaPadula đảm bảo:

a) Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) < class(O).

b) Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) ≤ class(O).

c) Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) ≥ class(O).

d) Một chủ thể S không được phép đọc một đối tượng O trừ khi class(S) > class(O).

Các bạn có thể tham khảo phần đáp án bằng cách tải bản đầy đủ một cách hoàn toàn miễn phí tại phần đính kèm bên dưới.
Chúc các bạn học tốt :)

 

Đính kèm

×
Quay lại
Top Bottom