Đề thi và đáp án môn Bảo mật Web

Linh Nhi

Thành viên thân thiết
Thành viên thân thiết
Tham gia
20/7/2015
Bài viết
1.309
Môn: Bảo Mật Web
Đề số 01 Đề thi có 06 trang (20 câu trắc nghiệm và 1 câu tự luận)
Thời gian: 60 phút.
Được phép sử dụng tài liệu giấy.
(Trích một phần tài liệu)

1. OWASP là thuật ngữ viết tắt của
a) Open Web Application Security Process.
b) Open Web Application Security Project.
c) Open Web Application Server Project.
d) Tất cả đều sai.

2. OWASP Top 10 ra đời vào năm
a) 2007.
b) 2010.
c) 2003.
d) 2013.

3. Lỗ hổng bảo mật “Sensitive Data Exposure” trong OWASP Top 10 – 2013 là sự tổng hợp các lỗ
hổng bảo mật nào trong các phiên bản OWASP Top 10 cũ:
a) Insecure Cryptographic Storage, Insufficient Transport Layer Protection.
b) Insecure Cryptographic Storage, Failure to Restrict URL Access
c) Security Misconfiguration, Failure to Restrict URL Access.
d) Insufficient Transport Layer Protection, Security Misconfiguration.

4. Trong cơ chế xác thực theo đặc tả HTTP, phát biểu nào sau đây đúng?
a) Basic Access Authentication bảo mật tốt hơn Digest Access Authentication.
b) Digest Access Authentication bảo mật tốt hơn Basic Access Authentication.
c) Basic Access Authetication dùng hàm băm MD5.
d) Tất cả đều sai

5. Trong vấn đề xác thực, những kỹ thuật điều khiển truy xuất chính gồm có:
a) Discretionary Access Control, Mandatory Access Control, Rule-Based Access Control.
b) Discretionary Access Control, Mandatory Access Control, Organization-Based Access Control.
c) Discretionary Access Control, Mandatory Access Control, Role- Based Access Control.
d) Tất cả đều đúng.

6. Trong vấn đề xác thực, phát biểu nào sau đây đúng?
a) Kỹ thuật MAC bảo vệ dữ liệu tốt hơn kỹ thuật ĐẶC.
b) Sử dụng DAC thì “covert channel” là bài toán rất phức tạp nhằm giải quyết yếu điểm của DAC.
c) Câu a, b đúng.
d) Câu a, b sai.

7. Trong vấn đề xác thực, phát biểu nào sau đây đúng?
a) Kỹ thuật RBAC thích hợp cả cho các ứng dụng trong môi trường Web.
b) Kỹ thuật RBAC chỉ sử dụng cho các ứng dụng trong môi trường Web.
c) Kỹ thuật RBAC không được sử dụng cho các ứng dụng trong môi trường Web.
d) Tất cả đều sai.

8. Với cơ chế MAC thì phát biểu nào sau đây sai?
a) Users có thể kiểm soát các quyền trên các dữ liệu mà họ tạo ra.
b) MAC còn có tên gọi khác là “multilevelschema databases access control models”.
c) Câu a, b đúng.
d) Câu a, b sai.

9. Mô hình DAC không thể bảo vệ hệ thống tránh lại các tấn công từ:
a) Trojan Horse.
b) Malware.
c) Software Bugs.
d) Tất cả đều đúng.

10. Phát biểu nào sau đây đúng?
a) SQL Injection là một kỹ thuật khai thác lỗ hổng bảo mật xảy ra ở tầng cơ sở dữ liệu của một ứng
dụng.
b) SQL Injection Attack thay đổi các câu lệnh SQL được tạo ra trong ứng dụng.
c) Câu a, b đúng.
d) Câu a, b sai.

11. Lỗ hổng bảo mật nào làm cho ứng dụng dễ bị tấn công SQL Injection:
a) Không kiểm tra kiểu hoặc ép kiểu mạnh (strongly typed) User input.
b) Không lọc lại User Input để tránh trường hợp các chuỗi ký tự đặc biệt được nhúng vào trong câu lệnh SQL.
c) Câu a, b đúng.
d) Câu a, b sai.

12. Các cơ chế tiêm nhiễm trong SQL Injection gồm có:
a) Thông qua user input (HTTP GET/POST) và cookies.
b) Thông qua user input (HTTP GET/POST).
c) Thông qua cookies.
d) Tất cả đều sai

13. Tấn công SQL Injection gồm có mấy giai đoạn?
a) 2
b) 3
c) 4
d) 5
14. Các ký tự đặc biệt (được in đậm) cần phải lọc khỏi User Input để tránh SQL Injection:
a) „ , “ , / , \ , ; ,NULL
b) „ , “ , ( , ) , ? ,NULL
c) * , / , \ , ; , NULL
d) # , / , \ , ; , NULL

15. Mô hình Bell-LaPadula gồm có 2 tính chất:
a) No read-up & no write-down
b) No read-down & no write-up
c) No write-up and no read-down
d) Read-up and writedown

Các bạn có thể tham khảo phần đáp án bằng cách tải bản đầy đủ một cách hoàn toàn miễn phí tại phần đính kèm bên dưới.
Chúc các bạn học tốt :)

 

Đính kèm

×
Quay lại
Top Bottom