41 İlginç Uygulama güvenlik mülakatı sorusu

Uygulama güvenliği mülakat soruları

etrafında tartışacağız Uygulama güvenliği mülakat soruları/Penetrasyon testi mülakat soruları En Sık Sorulanlar listesinden oluşan güvenlikle ilgili sorular ve ayrıca kaplı Güvenlik Mühendisi Mülakat Soruları ve siber güvenlik mülakat soruları:

Kritik || Uygulama güvenliği mülakat soruları

Binbaşı || Uygulama güvenliği mülakat soruları

Temel|| Uygulama güvenliği mülakat soruları

Uygulama Güvenliği mülakat soruları
Uygulama Güvenliği Mülakat Soruları

Temel Seviye -1 || Kritik || Uygulama güvenliği mülakat soruları

Bir HTTP programı durumu nasıl ele alır?

Durum bilgisi olmayan bir protokol olan HTTP, web uygulaması durumunu işlemek için çerezleri kullanır.HTTP, aşağıdaki yaklaşımlarda web uygulaması durumunu işleyebilir ve oturumu sürdürebilir:

Veriler çerezlerde veya web sunucusunun oturumunda saklanabilir.

Siteler Arası Komut Dosyası Oluşturma veya XSS'den ne anlıyorsunuz?

XSS olarak kısaltılan Siteler Arası Komut Dosyası Çalıştırma, yetkisiz kullanıcının bir web uygulamasına kötü amaçlı kod ekleyerek kullanıcının web tarayıcısında kötü amaçlı komut dosyaları yürütmeyi amaçladığı ve dolayısıyla kullanıcı bu web uygulamasını ziyaret ettiğinde, ardından kötü amaçlı komut dosyası çalıştırmayı amaçladığı bir istemci tarafı kod yerleştirme sorunudur. kod yürütülür ve çerezler, oturum belirteçleri ve diğer hassas bilgiler tehlikeye atılır.

XSS türleri nelerdir?

Büyük ölçüde üç farklı XSS ​​kategorisi vardır:

Yansıyan XSS: Bu yaklaşımda, bu güvenlik açığı durumunda kötü amaçlı komut dosyası veritabanında depolanmaz; bunun yerine, geçerli HTTP isteğinden gelir.

Depolanan XSS: Şüpheli komut dosyaları, web uygulamasının Veritabanında depolanır ve buradan, yorum alanı veya tartışma forumları vb. gibi çeşitli yollarla etkilenen kişinin eylemiyle başlatılabilir.

Dom XSS: DOM (Belge Nesne Modeli)XSS'de, olası sorunlar sunucu tarafı kodu yerine istemci tarafı kodunda bulunur. Burada bu türde, kötü amaçlı komut dosyası tarayıcıda akar ve DOM'da kaynak komut dosyası görevi görür.

Bu potansiyel etki, bir istemci tarafı kodu DOM'dan veri okuduğunda ve bu verileri girişi filtrelemeden işlediğinde ortaya çıkar.

10'in owasp ilk 2021'u nedir?

Owasp risk derecelendirme metodolojisinden bahseder misiniz?

Owasp risk derecelendirme metodolojileri aşağıdakiler gibi farklı katmanlara ayrılmıştır:

Tracert veya tracerout'un nasıl çalıştığını açıklayın?

Tracerout veya tracert adından da anlaşılacağı gibi, temel olarak ana makine ile uzak makine arasındaki yolu izler ve analiz eder. aşağıdaki faaliyetleri gerçekleştirir:

ICMP nedir?

ICMP OSI modelinin Ağ katmanında bulunan İnternet Kontrol Mesajı Protokolü anlamına gelir ve TCP/IP'nin ayrılmaz bir parçasıdır.

ICMP veya ping için hangi bağlantı noktası?

Ping, herhangi bir bağlantı noktası gerektirmez ve ICMP kullanır. Uzak hostun aktif durumda olup olmadığını belirlemek için kullanılır ve ayrıca iletişim içindeyken paket kaybını ve gidiş-dönüş gecikmesini tanımlar.

Başarılı dağıtım ve web izinsiz giriş algılamasının izlenmesi için zorlukların listesinden bahseder misiniz?

Belirteçlerle güvenli olmayan HTTP tanımlama bilgilerini içeren riskten bahseder misiniz?

Güvenli belirteçlerle birlikte HTTP çerezleri işaretlenmediğinde Erişim Kontrolü İhlalinin etkisi tetiklenir.

OWASP ESAPI'nin temel tasarımından bahseder misiniz?

Başlıca OWASP ESAPI tasarımı şunlardır:

Bağlantı noktası taraması nedir?

Yetkisiz kullanıcının bazı kritik ve hassas veri bilgilerini hedefleyip çekebileceği sistemde bazı zayıf noktalar olabileceğini keşfetmek için bağlantı noktalarının taranması.

Farklı port tarama türlerinden bahseder misiniz?

Bal küpü nedir?

Bal küpü, siber sorunların olası hedeflerini taklit eden bir bilgisayar sistemidir. Honeypot temel olarak meşru bir hedeften güvenlik açığını tespit etmek ve saptırmak için kullanılır.

Windows ve Linux arasında hangisi güvenliği sağlar?

Her iki işletim sisteminin de artıları ve eksileri vardır. Yine de güvenlikle ilgili olarak, birçok güvenlik araştırmacısının Linux'un güvenliğine katkıda bulunduğunu göz önünde bulundurarak, topluluğun çoğu Windows'a kıyasla daha fazla esneklik ve güvenlik sağladığı için Linux'u kullanmayı tercih ediyor.

Bir oturum açma sayfasında çoğunlukla uygulanan protokol hangisidir?

TLS/SSL protokolü, veriler iletim katmanlarındayken çoğu senaryoda uygulanır. Bu, iletim katmanında şifreleme kullanılarak kullanıcının kritik ve hassas verilerinin gizliliğini ve bütünlüğünü sağlamak için yapılır.

Açık anahtarlı şifreleme nedir?

Asimetrik kriptografi olarak da bilinen Genel Anahtar Kriptografisi (PKC), veri şifreleme ve şifre çözme için biri özel diğeri genel olmak üzere iki ayrı anahtar seti gerektiren bir şifreleme protokolüdür.

Şifrelemeyi gerçekleştirirken ve içeriği imzalarken özel ve açık anahtarlı şifreleme arasındaki farkı belirtin?

Dijital imzalama durumunda, gönderici verileri imzalamak için özel anahtarı kullanır ve diğer yandan alıcı, göndericinin kendisinin açık anahtarı ile verileri doğrular ve doğrular.

Şifrelemedeyken gönderici, alıcının açık anahtarı ile verileri şifreler ve alıcı kendi özel anahtarı ile şifresini çözer ve doğrular.

Açık anahtarlı şifrelemenin başlıca uygulamasından bahseder misiniz?

Açık anahtarlı şifrelemenin başlıca kullanım durumları şunlardır:

Kimlik Avı sorunları hakkında tartışın mı?

Kimlik Avında, kullanıcıyı kandırmak ve kritik ve hassas bilgileri göndermesi için onu manipüle etmek için sahte web sayfası tanıtılıyor.

Kimlik avı girişimlerini savunmak için hangi yaklaşımı kullanabilirsiniz?

XSS güvenlik açıklarının doğrulanması ve doğrulanması ve HTTP yönlendirici başlığı, kimlik avına karşı bazı azaltma yaklaşımlarıdır.

Birden çok oturum açma girişimine karşı nasıl savunma yapılır?

Birkaç oturum açma girişimine karşı savunmak için farklı yaklaşımlar vardır, örneğin:

Güvenlik Testi Nedir?

Güvenlik testi, herhangi bir yazılım (herhangi bir sistem veya web veya ağ veya Mobil veya diğer herhangi bir cihaz) tabanlı uygulamadaki olası güvenlik açıklarını belirlemek ve gizli ve etkin veri kümelerini potansiyel risk ve davetsiz misafirlerden korumak için yapılan önemli test alanlarından biridir.

"Kırılganlık" nedir?

Cevap: Güvenlik açığı, yetkisiz bir kullanıcının sistemi veya uygulamayı kullanan kullanıcıyı hedef alabileceği herhangi bir sistemdeki zayıflık/hata/kusur olarak kabul edilir.

Saldırı Tespiti Nedir?

Cevap: IDS veya saldırı tespit sistemi, bir ağı onaylanmamış etkinlik veya politika ihlalleri için izleyen yazılım veya donanım uygulamasıdır. Bu durumlarda, genellikle güvenlik bilgileri ve ilgili olay yönetim sistemi kullanılarak raporlanır ve çözülür.

Yetkisiz Giriş Tespiti sistemleri, izinsiz giriş önleme sistemleri (IPS) olarak bilinen keşif sırasında tespit edilen izinsiz girişe yanıt verecek kadar yeteneklidir.

Temel Seviye -2 || Binbaşı || Uygulama güvenliği mülakat soruları

İzinsiz Giriş Tespit Sistemi nedir, şunu yazın:

IDS Tespiti büyük ölçüde aşağıdaki türlerden oluşur:

Bunların yanı sıra, ana varyantların anormallik algılama ve imza algılamaya dayalı olduğu bir IDS türleri alt kümesi vardır.

OWASP hakkında ne biliyorsun?

Açık Web Uygulama Güvenliği Projesi olarak bilinen OWASP, güvenli yazılım geliştirmeyi destekleyen bir kuruluştur.

Oturum belirteçleri, aralık değerleri arasında yetersiz rastgeleliğe sahipse hangi olası sorunlar ortaya çıkar?

Oturum kurcalama, bir aralık değeri içinde yetersiz rastgeleliğe sahip oturum belirteçleriyle ilgili sorundan kaynaklanır.

“SQL Enjeksiyonu” nedir?

Cevap: SQL enjeksiyonu, veritabanınızı tahrip edebilecek ve potansiyel olarak DB'nizdeki tüm verileri açığa çıkarabilecek bir web sayfası girişi aracılığıyla SQL ifadelerine bir kodun enjekte edildiği en yaygın tekniklerden biridir.

SSL oturumundan ve ayrıca SSL bağlantılarından ne anlıyorsunuz?

Cevap: SSL, Güvenli Yuva Katmanı olarak bilinir, bağlantı, her iki bağlantının da SSL Oturumunu sürdürdüğü eşler arası bağlantı ile iletişim kurar.

SSL oturumu, SSL kullanan bir SSL sunucusuna bağlı bir SSL istemcisi arasındaki bağlantı üzerinden gerçekleşen anahtar ve algoritma sözleşmesi bilgilerinden oluşan güvenlik sözleşmesini temsil eder.

Bir SSL oturumu, bir SSL istemcisi ile SSL sunucusu arasındaki SSL oturumları parametre anlaşmalarını kontrol eden güvenlik protokolleri tarafından yönetilir.

Bir parola dosyasına koruma sağlamak için kullanılan iki standart yaklaşımı adlandırın?

Cevap: Parola dosyası koruması için başlıca uygulanan iki yaklaşım şunlardır:

IPSEC nedir?

IP güvenliği olarak da bilinen IPSEC, IP ağı üzerindeki iki çeşitli iletişim katmanı arasında bir İnternet Mühendisliği Görev Gücü (IETF) standart protokol paketidir. Veri kümesi bütünlüğünü, kimlik doğrulamasını ve ayrıca gizliliğini sağlar. Kimliği doğrulanmış veri paketlerini şifreleme, şifre çözme ile üretir.

OSI modeli nedir:

Açık Sistemler Ara Bağlantısı olarak da bilinen OSI modeli, farklı iletişim sistemleri yardımıyla standart protokoller kullanarak iletişimi sağlayan bir modeldir. Uluslararası Standardizasyon Örgütü bunu yaratıyor.

ISDN nedir?

ISDN, devre anahtarlamalı bir telefon ağı sistemi olan Integrated Services Digital Network'ün kısaltmasıdır. Veri ile birlikte sesin dijital olarak iletilmesine izin veren paket anahtarlamalı ağ erişimi sağlar. Bu ağ üzerinden veri ve ses kalitesi bir analog cihaz/telefondan çok daha iyidir.

ÇAP nedir?

CHAP, temel olarak bağlantının ilk başlatılmasının kullanıldığı bir P-2-P protokolü (PPP) kimlik doğrulama protokolü olan Challenge Handshake Authentication Protocol (CHAP) olarak da adlandırılır. Ayrıca, ana bilgisayar ile iletişim kuran yönlendiricinin periyodik sağlık kontrolünü gerçekleştirir.CHAP, IETF (İnternet Mühendisliği Görev Gücü) tarafından geliştirilmiştir.

USM nedir ve ne işe yarar?

USM, Kullanıcı Tabanlı Güvenlik Modeli anlamına gelir ve Sistem Yönetim Aracısı tarafından şifre çözme için kullanılır, şifreleme, şifre çözme ve kimlik doğrulama yanı sıra SNMPv3 paketler.

Güvenlik açıklarına neden olabilecek bazı faktörlerden bahseder misiniz?

Cevap: Potansiyel güvenlik açıklarına neden olabilecek alanların çoğu şunlardır:

SSL oturum bağlantısını tanımlamak için parametre listesinden bahseder misiniz?

Cevap: Bir SSL oturum bağlantısını tanımlayan öznitelikler şunlardır:

Dosya numaralandırma nedir?

Cevap: Yetkisiz kullanıcının URL parametrelerinden yararlandığı ve hassas verileri aldığı URL'yi manipüle ederek zorla gezinmenin gerçekleştiği bir tür sorun.

Saldırı tespit sisteminin avantajları nelerdir?

Cevap: Saldırı tespit sistemi aşağıdaki avantajlara sahiptir:

Temel Seviye -3 || Temel|| Uygulama güvenliği mülakat soruları

Host Saldırı Tespit Sistemi Nedir?

(HIDS'ler) Ana bilgisayar tabanlı saldırı tespit sistemleri (HIDS'ler), bireysel bilgisayar sistemlerinden toplanan bilgiler üzerinde çalışan ve mevcut sistemde hizmet veren ve sistemin önceki ayna/anlık görüntüsü ile karşılaştıran ve herhangi bir veri değişikliği veya manipülasyonu olup olmadığını doğrulayan uygulamalardır. yapıldı ve çıktıya göre bir uyarı oluşturur.

Ayrıca hangi süreçlerin ve kullanıcıların kötü niyetli faaliyetlere dahil olduğunu anlayabilir.

NNIDS nedir?

NNIDS, bir NIDS gibi olan Ağ Düğümü Saldırı Tespit Sistemi (NNIDS) anlamına gelir, ancak tüm bir alt ağa değil, tek bir zaman noktasında yalnızca bir ana bilgisayara uygulanabilir.

Üç davetsiz misafirden bahsedin sınıflar?

Çeşitli davetsiz misafir türleri vardır, örneğin:

SSL'de kullanılan bileşenlerden bahseder misiniz?

SSL, istemciler ve sunucular arasında güvenli bağlantılar kurar.

Yasal Uyarı: Bu Uygulama güvenliği mülakat soruları öğretici yazı içindir sadece eğitim amaçlı. Güvenlik sorunları/davranışı ile ilgili herhangi bir faaliyeti teşvik etmiyoruz/desteklemiyoruz. Varsa, yasa dışı herhangi bir eylemden yalnızca kişi sorumludur.

En gidin