24 câu hỏi
Phần mềm ngăn chặn hành vi:
Theo dõi các hành vi trong thời gian thực của hệ thống
Phát hiện code có hại trước khi chúng thực hiện
Theo dõi các tham số của hệ thống
Tất cả đều đúng
Phòng chống tấn công Tấn công từ chối dịch vụ phân bố (DDOS):
Chỉ có thể dùng tường lửa
Có thể hạn chế trong bằng cách lập trình
Hiện nay đã có cách phòng chống hiệu quả
Cách hiệu quả duy nhất là lưu trữ và phục hồi (backup và restore)
RSA là giải thuật:
Mã công khai
Là tên của một tổ chức quốc tế về mã hóa
Mã khóa riêng
Tất cả đều sai
Phương pháp thông tin truy cập từ xa nào được xem như kết nối điển hình đến Internet mọi lúc, nó làm gia tăng rủi ro bảo mật do luôn mở đối với mọi cuộc tấn công?
Cable modem & DSL
Dial-up
Wireless
SSH
Tiện ích nào sau đây là một phương thức bảo mật truy cập từ xa tốt hơn telnet?
SSL
SSH
IPSec
VPN
Thiết bị nào được sử dụng để cho phép các máy trạm không dây truy cập vào một mạng LAN rộng?
802.11b
Tường lửa
Điểm truy cập không dây (Wireless Access Point)
VPN
Thiết bị nào sử dụng bộ lọc gói và các quy tắc truy cập để kiểm soát truy cập đến các mạng riêng từ các mạng công cộng, như là Internet?
Điểm truy cập không dây
Router
Tường lửa
Switch
Mối đe dọa hoặc Nguy cơ là gì?
Là những sự kiện có khả năng ảnh hưởng đến an toàn của hệ thống.
Là những sự kiện sử dụng các kỹ thuật vào hệ thống.
Cả 2 đều sai.
Cả 2 đều đúng.
Đặc điểm của Penetration Test là gì?
Verify threat exists, Bypass security controls, Actively test security controls, Exploiting vulnerability.
Verify threat exists, Bypass security controls.
Verify threat exists, Exploiting vulnerability.
Actively test security controls, Exploiting vulnerability.
Các loại Penetration Test gồm:
Black-box testing.
Black-box testing, White-box testing
Black-box testing, White-box testing, Gray-box testing
Tất cả sai.
HTTP - Hyper Text Transfer Protocol là?
Giao thức này quy định cách Web Browser định dạng và gửi yêu cầu đến Web Server.
Giao thức để truy cập mail.
Giao thức dịch vụ DNS
Giao thức truy cập DHCP.
Cookies là gì?
1 đoạn dữ liệu được truyền đến browser từ server, đoạn dữ liệu này sẽ được browser lưu trữ (trong memory hoặc trên đĩa) và sẽ gởi ngược lên lại server mỗi khi browser tải 1 trang web từ server.
Đoạn dữ liệu này sẽ được browser lưu trữ (trong memory hoặc trên đĩa) và sẽ gởi ngược lên lại server mỗi khi browser tải 1 trang web từ server.
Là đoạn gởi ngược lên lại server mỗi khi browser tải 1 trang web từ server
Tất cả đều sai.
Các kỹ thuật tìm kiếm lỗ hổng là gì?
Kỹ thuật lẩn tránh bộ lọc, Sử dụng web proxy, Kỹ thuật vượt bộ lọc XSS, Kỹ thuật khai thác lỗi ở client-side.
Sử dụng web proxy, Kỹ thuật vượt bộ lọc XSS, Kỹ thuật khai thác lỗi ở client-side
Kỹ thuật vượt bộ lọc XSS, Kỹ thuật khai thác lỗi ở client-side
Tất cả đều đúng.
Kỹ thuật tìm kiếm lỗ hổng Acunetix Web Vulnerability Scanner ra đời năm nào?
Năm 2004
Năm 2005
Năm 2006
Năm 2007
Những ưu điểm của Acunetix Web Vulnerability Scanner là gì?
Giao diện website trực quan, dễ sử dụng.
Có lượng mẫu thử khổng lồ.
Giữ lại lịch sử, kết quả rò quét.
tất cả đều đúng.
Những nhược điểm của Acunetix Web Vulnerability Scanner là gì?
Trong quá trình quét rất tốn RAM và bộ nhớ.
Là công cụ có phí, không công bố mã nguồn.
a và b đều đúng.
cả a và b đều sai.
Tính năng của công cụ Nessus Vulnerability Scanner
Quét các lỗ hổng bảo mật và đưa ra các biện pháp khắc phục trên hệ thống có nền tảng Windows, Linux, Mac.
Kiểm tra các bản vá hệ điều hành Windows, Linux và các ứng dụng như trình duyệt web, phần mềm,…
Hỗ trợ phân tích cả trên các thiết bị ảo hóa.
tất cả đều đúng.
Kỹ thuật tấn công SQL Injection như thế nào?
Attacker lợi dụng lỗ hỏng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ thống CSDL trả về để chèn vào các đoạn truy vấn SQL nhằm truy cập vào CSDL và có thể thực hiện các thao tác trên CSDL.
Attacker lợi dụng lỗ hỏng của việc kiểm tra website.
tất cả đều sai.
tất cả đều đúng.
Các kiểu khai thác của SQL Injection là gì?
Tautologies
Illegal/Logically Incorrect Queries.
Union query
cả 3 đều đúng.
XSS được viết tắt từ những từ gì?
Cross-Site Scripting
Cross-Script Siting
cả a và b đều đúng.
cả a và b đều sai.
Những tác động tấn công XSS là gì?
Đánh cắp phiên của người dùng
Đánh cắp dữ liệu nhạy cảm
Thay đổi giao diện trang web
tất cả đều đúng.
Persistent XSS (Stored XSS) là kỹ thuật tấn công vào nơi nào?
website
cơ sở dữ liệu của website
cả 2 đều sai
cả 2 đều đúng.
Hình thức tấn công Non-Persistent XSS (Reflected XSS) là gì?
xóa trang website.
gửi link chứa mã độc cho người dùng.
cả 2 đều đúng.
cả 2 đều sai.
Kỹ thuật tấn công DOM-based XSS là gì?
kỹ thuật khai thác XSS dựa trên việc thay đổi cấu trúc DOM của tài liệu,
kỹ thuật tấn công vào website người dùng và xóa cơ sở dữ liệu
cả 2 đều sai.
cả 2 đều đúng.