TEST NUMER IX : Atakowanie Aplikacji

Wpisanie hasła :: blah''lub 1 = 1 do formularza internetowego w celu uzyskania hasła to przykład jakiego rodzaju ataku?

A) Przepełnienie bufora

B) Przepełnienie w stosie

C) Przepełnienie stosu

D) Wstrzyknięcie SQL
Jakiemu celowi służy zastępowanie instrukcji NOP innym kodem w mutacji przepełnienia bufora ?

A) Ominięcie IDS

B) Nadpisywanie wskaźnika powrotu

C) Przesuwanie wskaźnika powrotu

D) Omijanie firewalla
Które z poniższych jest używane do przechowywania dynamicznie przydzielanych zmiennych?

A) Przepełnienie sterty

B) Przepełnienie stosu

C) Sterty

D) Stos
Jaki jest pierwszy krok w ataku SQL injection?

A) Wprowadź dowolne polecenia w wierszu użytkownika

B) Zlokalizuj pole wprowadzania użytkownika na stronie internetowej

C) Zlokalizuj wskaźnik powrotu

D) Wprowadź serię instrukcji NOPu
Jakie polecenie jest używane do pobierania informacji z bazy danych SQL?

A) INSERT

B) GET
C) SET

D) SELECT
Które z poniższych działań stanowi środek zaradczy w przypadku przepełnienia bufora?

A) Nie używanie pojedynczych cudzysłowów

B) Zabezpieczanie wszystkich stron logowania za pomocą SSL

C) Sprawdzanie granic

D) Sprawdzanie poprawności użytkownika
Co oznacza NOP ?

A) Brak działania

B) Protokół operacyjny sieci

C) Bez pytania

D) Praca w sieci
Jakich informacji potrzebuje haker aby przeprowadzić atak przepełnienia bufora?

A) Haker musi znać przestrzeń pamięci i techniki przepełnienia buforaw celu uruchomienia ataku przepełnienia bufora.

B) Haker musi zrozumieć różnice między stertą a stosem.

C) Haker musi być w stanie zidentyfikować cel podatny na atak polegający na przepełnieniu bufora.

D) Haker musi być w stanie przeprowadzić skanowanie portów szukających wrażliwych stosów pamięci
Dlaczego wiele programów jest podatnych na atak SQL injection i przepełnienie bufora?

A) Programy są pisane szybko i używają słabych technik programowania

B) Są to nieodłączne wady każdego programu

C) Użytkownicy nie zastosowali poprawnych dodatków Service Pack

D) Programiści używają niewłaściwego języka programowania.
Z którego polecenia haker wejdzie w pole formularza internetowego, aby uzyskać listing katalogu?

A) Blah '; exec master..xp_cmdshell "dir *. *" -

B) Blah '; exec_cmdshell "dir c: \ *. * / S> c: \ katalog.txt" -

C) Blah '; exec master..xp_cmdshell "dir c: \ *. * / S> c: \ katalog.txt" -

D) Blah '; exec cmdshell "dir c: \ *. *" -
Jakie są dwa rodzaje ataków przepełnienia bufora?

A) Sterta i stos

B) Sterta i przepełnienie

C) Stos i przydzielanie pamięci

D) Wstrzyknięcia i sterty
Zmienne, które są zbierane z pola wejściowego użytkownika w aplikacji internetowej do późniejszego wykonania przez aplikację internetową są znane jako.

A) Opóźnione wykonanie

B) Ciągi dynamiczne

C) Zmienne statyczne

D) Funkcje automatyczne
Jaki jest jeden cel ataków typu SQL injection?

A) Aby utworzyć przepełnienie bufora opartego na stercie

B) Aby utworzyć przepełnienie bufora na stosie

C) Aby wykonać wykonanie NOP

D) Aby zidentyfikować wrażliwe parametry
Która aplikacja pomoże określić, czy strona internetowa jest podatna na ataki wstrzyknięcia SQL?

A) BlackWidow

B) Metasploit

C) Scrawlr

D) Blok SQL
Przeciwwagą dla przepełnienia bufora jest użycie języka programowania ponieważ nie jest podatny na ataki z przepełnieniem bufora

A) Java

B) Netscape

C) Oracle

D) ASP
Jesteś programistą analizującym kod aplikacji działającej na serwerze twojej organizacji. Istnieje zbyt wiele poleceń fgets (). Są to funkcje C ++ które nie wykonują sprawdzania ograniczeń. Na jaki atak ten program jest podatny?

A) Przepełnienie bufora

B) Odmowa świadczenia usługi

C) Wstrzykiwanie SQL

D) Łamanie haseł
Które z poniższych działań są przeciwdziałaniem atakom SQL injection? (Wybierz jedno)

A) Odrzucanie znanych błędnych danych wejściowych

B) Odkażanie i sprawdzanie pola wejściowego

C) Przeprowadzanie weryfikacji użytkownika

D) Zapewnienie, że wszystkie dane wejściowe użytkownika są zmienne
Etyczny haker przeprowadza test penetracyjny w aplikacji internetowej. Haker znajduje pole wprowadzania użytkownika w formularzu internetowym i wprowadza pojedynczy cudzysłów. Strona odpowiada z błędem serwera. Co oznacza błąd?

A) Aplikacja internetowa jest podatna na ataki typu SQL injection

B) Aplikacja internetowa nie jest podatna na ataki typu SQL injection

C) Serwer doświadcza odmowy usługi

D) Aplikacja internetowa zawiesiła się
Instrukcje SQL różniące się między wykonywaniem a wykonywaniem są znane jako …… łańcuchowe

A) Zmienne

B) Dynamiczne

C) Oparte na aplikacji

D) Statyczne
Kiedy do ciągu dodajemy instrukcję No Operation (NOP)? (Wybierz jedno)

A) Po wykonaniu złośliwego kodu

B) Zanim złośliwy kod zostanie wykonany

C) Dokładnie w tym samym czasie wykonywany jest złośliwy kod

D) W czasie wykonywania złośliwego kodu

[ 193 ]

TEST NUMER IX : Atakowanie Aplikacji

Wpisanie hasła :: blah''lub 1 = 1 do formularza internetowego w celu uzyskania hasła to przykład jakiego rodzaju ataku?

Jakiemu celowi służy zastępowanie instrukcji NOP innym kodem w mutacji przepełnienia bufora ?

Które z poniższych jest używane do przechowywania dynamicznie przydzielanych zmiennych?

Jaki jest pierwszy krok w ataku SQL injection?

Jakie polecenie jest używane do pobierania informacji z bazy danych SQL?

Które z poniższych działań stanowi środek zaradczy w przypadku przepełnienia bufora?

Co oznacza NOP ?

Jakich informacji potrzebuje haker aby przeprowadzić atak przepełnienia bufora?

Dlaczego wiele programów jest podatnych na atak SQL injection i przepełnienie bufora?

Z którego polecenia haker wejdzie w pole formularza internetowego, aby uzyskać listing katalogu?

Jakie są dwa rodzaje ataków przepełnienia bufora?

Zmienne, które są zbierane z pola wejściowego użytkownika w aplikacji internetowej do późniejszego wykonania przez aplikację internetową są znane jako.

Jaki jest jeden cel ataków typu SQL injection?

Która aplikacja pomoże określić, czy strona internetowa jest podatna na ataki wstrzyknięcia SQL?

Przeciwwagą dla przepełnienia bufora jest użycie języka programowania ponieważ nie jest podatny na ataki z przepełnieniem bufora

Jesteś programistą analizującym kod aplikacji działającej na serwerze twojej organizacji. Istnieje zbyt wiele poleceń fgets (). Są to funkcje C ++ które nie wykonują sprawdzania ograniczeń. Na jaki atak ten program jest podatny?

Które z poniższych działań są przeciwdziałaniem atakom SQL injection? (Wybierz jedno)

Etyczny haker przeprowadza test penetracyjny w aplikacji internetowej. Haker znajduje pole wprowadzania użytkownika w formularzu internetowym i wprowadza pojedynczy cudzysłów. Strona odpowiada z błędem serwera. Co oznacza błąd?

Instrukcje SQL różniące się między wykonywaniem a wykonywaniem są znane jako …… łańcuchowe

Kiedy do ciągu dodajemy instrukcję No Operation (NOP)? (Wybierz jedno)