Questions d'entretien sur la sécurité des applications

Nous discuterons autour de Questions d'entretien sur la sécurité des applications/Questions d'entretien sur les tests de pénétration qui consiste en une liste des plus fréquemment posées questions sur la sécurité et également couvert Questions d'entretiens - Ingénieur sécurité et Questions d'entretien sur la cybersécurité:

Critique || Questions d'entretien sur la sécurité des applications

Major || Questions d'entretien sur la sécurité des applications

Basique || Questions d'entretien sur la sécurité des applications

Niveau de base -1 || Critique || Questions d'entretien sur la sécurité des applications

Comment un programme HTTP gérerait-il l'état?

HTTP étant un protocole sans état, utilise des cookies pour gérer l'état de l'application Web.HTTP peut gérer l'état de l'application Web dans les approches ci-dessous et maintient la session:

Les données peuvent être stockées dans des cookies ou dans la session du serveur Web.

Que comprenez-vous par Cross Site Scripting ou XSS?

Le script intersite abrégé en XSS est un problème d'injection de code côté client où l'utilisateur non autorisé vise à exécuter des scripts malveillants dans le navigateur Web de l'utilisateur en incorporant un code malveillant dans une application Web et donc une fois que l'utilisateur visite cette application Web, le programme malveillant le code est exécuté, ce qui entraîne la compromission des cookies, des jetons de session ainsi que d'autres informations sensibles.

Quels sont les types de XSS?

Il existe principalement trois catégories différentes de XSS:

XSS reflété: Dans cette approche, le script malveillant n'est pas stocké dans la base de données en cas de cette vulnérabilité; à la place, il provient de la requête HTTP actuelle.

XSS stocké: Les scripts suspects ont été stockés dans la base de données de l'application Web et peuvent être lancés à partir de là par l'action de la personne concernée de plusieurs manières telles que le champ de commentaire ou les forums de discussion, etc.

DOM XSS : Dans DOM (Document Object Model) XSS, les problèmes potentiels existent dans le code côté client au lieu du code côté serveur. Ici, dans ce type, le script malveillant circule dans le navigateur et agit comme un script source dans DOM.

Cet impact potentiel survient lorsqu'un code côté client lit les données du DOM et traite ces données sans filtrer l'entrée.

Quels sont le top 10 de l'Owasp en 2021?

Mentionner la méthodologie de notation des risques owasp?

Les méthodologies de notation des risques Owasp sont réparties entre les différentes couches, telles que:

Expliquez comment fonctionne le tracert ou le tracerout?

Tracerout ou tracert, comme son nom l'indique, surveille et analyse essentiellement l'itinéraire entre la machine hôte et la machine distante. il effectue les activités ci-dessous:

Qu'est-ce que ICMP?

ICMP signifie Internet Control Message Protocol, situé au niveau de la couche réseau du modèle OSI, et fait partie intégrante du TCP / IP.

Quel port est pour ICMP ou ping?

Ping ne nécessite aucun port et utilise ICMP. Il est utilisé pour identifier si l'hôte distant est dans un état actif ou non, et il identifie également la perte de paquets et le délai d'aller-retour pendant la communication.

Mentionner la liste des défis pour le déploiement réussi et la surveillance de la détection d'intrusion Web?

Mentionner le risque lié aux cookies HTTP non sécurisés avec des jetons?

L'impact de la violation de contrôle d'accès est déclenché lorsque les cookies HTTP ne sont pas signalés avec des jetons sécurisés.

Voir aussi Test d'automatisation de marionnettiste : didacticiel 6

Mentionner la conception de base de OWASP ESAPI?

Les principales conceptions OWASP ESAPI sont:

Qu'est-ce que l'analyse des ports?

Analyse des ports pour découvrir qu'il peut y avoir des points faibles dans le système vers lesquels un utilisateur non autorisé peut cibler et extraire certaines informations de données critiques et sensibles.

Mentionner les différents types de scans de port?

Qu'est-ce qu'un pot de miel?

Le pot de miel est un système informatique qui imite les cibles probables des cyber-problèmes. Honeypot essentiellement utilisé pour la détection et la déviation de la vulnérabilité d'une cible légitime.

Parmi Windows et Linux, lequel assure la sécurité?

Les deux OS ont leurs avantages et leurs inconvénients. Pourtant, en ce qui concerne la sécurité, la plupart de la communauté préfère utiliser Linux car il offre plus de flexibilité et de sécurité par rapport à Windows, étant donné que de nombreux chercheurs en sécurité ont contribué à la sécurisation de Linux.

Quel est le protocole le plus implémenté sur une page de connexion?

Le protocole TLS / SSL est implémenté dans la plupart des scénarios alors que les données se trouvent dans les couches de transmission, ce qui doit être fait pour garantir la confidentialité et l'intégrité des données critiques et sensibles de l'utilisateur en utilisant le cryptage dans la couche de transmission.

Qu'est-ce que la cryptographie à clé publique?

La cryptographie à clé publique (PKC), également connue sous le nom de cryptographie asymétrique, est un protocole de cryptographie qui nécessite deux jeux de clés distincts, c'est-à-dire qu'une clé privée et une autre est publique pour le cryptage et le décryptage des données.

Énoncez la différence entre la cryptographie à clé privée et publique lors du chiffrement et de la signature du contenu?

Dans le cas de la signature numérique, l'expéditeur utilise la clé privée pour signer les données et d'autre part le récepteur vérifie et valide les données avec la clé publique de l'expéditeur lui-même.

Pendant le cryptage, l'expéditeur crypte les données avec la clé publique du destinataire et le destinataire les décrypte et les valide à l'aide de sa clé privée.

Mentionner l'application majeure de la cryptographie à clé publique?

Les principaux cas d'utilisation de la cryptographie à clé publique sont:

Discuter des problèmes de phishing?

Dans le phishing, la fausse page Web est introduite pour tromper l'utilisateur et le manipuler pour qu'il soumette des informations critiques et sensibles.

Quelle approche pouvez-vous adopter pour défendre les tentatives de phishing?

La vérification et la validation des vulnérabilités XSS et l'en-tête de référence HTTP sont des approches d'atténuation contre le phishing.

Comment se défendre contre plusieurs tentatives de connexion?

Il existe différentes approches pour se défendre contre plusieurs tentatives de connexion, telles que :

Qu'est-ce que les tests de sécurité?

Les tests de sécurité sont l'un des principaux domaines de test importants pour identifier les vulnérabilités possibles de toute application basée sur un logiciel (tout système ou Web ou réseau ou mobile ou tout autre appareil) et protéger leurs ensembles de données confidentielles et sensibles contre les risques potentiels et les intrus.

Voir aussi 51 questions d'entretien avec Appium (la plupart des débutants ne savent pas !)

Qu'est-ce que la «vulnérabilité»?

Réponse: La vulnérabilité est considérée comme la faiblesse / bogue / faille dans tout système par lequel un utilisateur non autorisé peut cibler le système ou l'utilisateur qui utilise l'application.

Qu'est-ce que la détection d'intrusion?

Réponse : IDS ou système de détection d'intrusion est une application logicielle ou matérielle qui surveille un réseau à la recherche d'activités non approuvées ou de violations de politiques. Dans ces situations, le problème est généralement signalé et résolu à l'aide des informations de sécurité et du système de gestion des événements correspondant.

Peu de systèmes de détection d'intrusion sont suffisamment capables de répondre à l'intrusion détectée lors de la découverte, connue sous le nom de systèmes de prévention d'intrusion (IPS).

Niveau de base -2 || Major || Questions d'entretien sur la sécurité des applications

Que sont le système de détection d'intrusion, tapez:

La détection IDS principalement des types ci-dessous:

Parallèlement à cela, il existe un sous-ensemble de types IDS, parmi lesquels les principales variantes sont basées sur la détection d'anomalies et la détection de signatures.

Que savez-vous de l'OWASP?

OWASP est connu sous le nom de Open Web Application Security Project est une organisation qui prend en charge le développement de logiciels sécurisés.

Quels problèmes potentiels surviennent si les jetons de session ont un caractère aléatoire insuffisant sur les valeurs de plage?

La falsification de session provient du problème avec les jetons de session ayant un caractère aléatoire insuffisant dans une plage de valeurs.

Qu'est-ce que «SQL Injection»?

Réponse: L'injection SQL est l'une des techniques les plus courantes dans laquelle un code est injecté dans les instructions SQL via une entrée de page Web qui pourrait détruire votre base de données et potentiellement exposer toutes les données de votre base de données.

Qu'entendez-vous par session SSL et aussi par les connexions SSL?

Réponse: SSL est connu sous le nom de connexion sécurisée Socket Layer établit la communication avec un lien peer-to-peer ayant à la fois la connexion maintient la session SSL.

Une session SSL représente le contrat de sécurité, qui se compose en termes d'informations de clé et d'accord d'algorithme qui a lieu sur une connexion entre un client SSL connecté à un serveur SSL à l'aide de SSL.

Une session SSL est régie par des protocoles de sécurité qui contrôlent les négociations de paramètres de sessions SSL entre un client SSL et un serveur SSL.

Nommez les deux approches standard utilisées pour protéger un fichier de mots de passe?

Réponse: Deux approches principalement appliquées pour la protection des fichiers par mot de passe sont

Qu'est-ce que IPSEC?

L'IPSEC, également connu sous le nom de sécurité IP, est une suite de protocoles standard IETF (Internet Engineering Task Force) entre les deux différentes couches de communication sur le réseau IP. Il garantit l'intégrité des données, l'authentification et également la confidentialité. Il génère les paquets de données authentifiés avec cryptage, décryptage.

Quel est le modèle OSI:

Le modèle OSI, également connu sous le nom d'interconnexion des systèmes ouverts, est un modèle qui permet la communication à l'aide de protocoles standard à l'aide de divers systèmes de communication. L'Organisation internationale de normalisation est en train de le créer.

Qu'est-ce que le RNIS?

RNIS signifie Integrated Services Digital Network, un système de réseau téléphonique à commutation de circuits. Il fournit un accès aux réseaux à commutation de paquets qui permet la transmission numérique de la voix avec des données. Sur ce réseau, la qualité des données et de la voix est bien meilleure qu'un appareil / téléphone analogique.

Voir aussi Comment inspecter avec succès un élément Android | IOS avec Appium Inspector-2021

Qu'est-ce que CHAP?

CHAP, également appelé Challenge Handshake Authentication Protocol (CHAP) qui est essentiellement un protocole d'authentification de protocole P-2-P (PPP) dans lequel le démarrage initial de la liaison est utilisé. En outre, il effectue un contrôle périodique de la santé du routeur communique avec l'hôte.CHAP est développé par IETF (Internet Engineering Task Force).

Qu'est-ce que l'USM et que fait-il?

USM signifie User-based Security Model, est utilisé par System Management Agent pour le décryptage, chiffrement, décryptage et authentification aussi bien pour SNMPv3 paquets.

Mentionner certains facteurs pouvant entraîner des vulnérabilités?

Réponse: La majorité des domaines susceptibles de provoquer des vulnérabilités potentielles sont:

Mentionner la liste des paramètres pour définir la connexion de session SSL?

Réponse: Les attributs qui définissent tous une connexion de session SSL sont:

Qu'est-ce que l'énumération des fichiers?

Réponse: C'est un type de problème où la navigation forcée a lieu en manipulant l'URL où l'utilisateur non autorisé exploite les paramètres d'URL et obtient des données sensibles.

Quels sont les avantages du système de détection d'intrusion?

Réponse: Le système de détection d'intrusion présente les avantages ci-dessous:

Niveau de base -3 || Basique || Questions d'entretien sur la sécurité des applications

Qu'est-ce que le système de détection d'intrusion hôte?

Les systèmes de détection d'intrusion (HIDS) basés sur l'hôte (HIDS) sont des applications qui fonctionnent sur les informations collectées à partir de systèmes informatiques individuels et servent sur le système existant et comparent avec le miroir / instantané précédent du système et valident s'il y a une modification ou une manipulation de données a été fait et génère une alerte basée sur la sortie.

Il peut également déterminer quels processus et utilisateurs sont impliqués dans des activités malveillantes.

Qu'est-ce que NNIDS?

NNIDS signifie Network Node Intrusion Detection System (NNIDS), qui ressemble à un NIDS, mais il n'est applicable qu'à un hôte à un moment donné, pas à un sous-réseau entier.

Mentionnez trois intrus les classes?

Il existe différents types d'intrus, tels que:

Mentionner les composants qui sont utilisés dans SSL?

SSL établit les connexions sécurisées entre les clients et les serveurs.

Avertissement: Ce Questions d'entretien sur la sécurité des applications le post de tutoriel est pour but éducatif seulement. Nous ne promouvons / ne soutenons aucune activité liée aux problèmes de sécurité / conduite. L'individu est seul responsable de tout acte illégal, le cas échéant.

Débarghya

Debarghya Roy, architecte en ingénierie avec plus de 12 ans d'expérience, travaille avec une entreprise Fortune 5 et est une contributrice open source active. Compétent dans un large éventail de technologies, notamment Java, C#, Python et divers outils d'automatisation et d'ingénierie des performances, il possède également une expertise en automatisation de la sécurité, RPA et développement back-end à l'aide de SpringBoot, Kafka et de la pile ELK. Basée à Bangalore, en Inde, Debarghya est passionnée par les blogs, la musique et milite pour « l'éducation pour tous », ce qui a conduit à la fondation de LambdaGeeks.