[Росдистант] Обеспечение безопасности при разработке программного обеспечения (тесты, вопросы, ответы)
Тольяттинский государственный университет (Росдистант), ТГУ. Обеспечение безопасности при разработке программного обеспечения (12198, 12521). Промежуточные и итоговый тесты. Ответы на вопросы.
Для Росдистант имеются и другие готовые работы. Пишем уникальные работы под заказ. Помогаем с прохождением онлайн-тестов. Пишите, пожалуйста, в личку (Евгений).
ИТОГОВЫЙ ТЕСТ (в базе более 90 вопросов)
Какой механизм используется для предотвращения повторной отправки данных в протоколе TLS?
Выберите один ответ:
хеши
соли
маркеры сессии
коды аутентификации сообщений
Какие типы уязвимостей могут быть обнаружены с помощью SAST?
Выберите один ответ:
Нарушение логики
Инъекции
Баги конфигурации
Все перечисленное
Как осуществляется модификация HTTP трафика в DAST?
Выберите один ответ:
Ручная модификация
Автоматическая модификация
Не производится модификация
По фиксированному сценарию
Какие источники данных используются инструментами DAST?
Выберите один ответ:
Исходный код
Базы данных
HTTP трафик и реестр CVE
Интерфейсы приложения
К чему приводит использование надежных библиотек и фреймворков?
Выберите один ответ:
Повышение безопасности
Уменьшение функционала
Увеличение затрат
Ухудшение производительности
Как называется тип уязвимости, связанный с переполнением буфера?
Выберите один ответ:
инъекция SQL
межсайтовый скриптинг
переполнение буфера
отказ в обслуживании
Какие меры безопасности следует применять для защиты от XSS-атак?
Выберите один ответ:
Экранирование выводимых данных
Валидация и фильтрация входных данных
Использование HTTPOnly-флага для куки
Все перечисленное
Какой этап обеспечения безопасности включает тестирование безопасности программного обеспечения?
Выберите один ответ:
Анализ требований
Тестирование безопасности
Разработка безопасных архитектурных решений
Все перечисленное
Какой этап обеспечения безопасности включает анализ уязвимостей программного обеспечения?
Выберите один ответ:
Анализ требований
Тестирование безопасности
Разработка безопасных архитектурных решений
Все перечисленное
Какой тип тестирования направлен на обнаружение уязвимостей в системе?
Выберите один ответ:
юзабилити тестирование
тестирование производительности
тестирование безопасности
нагрузочное тестирование
К каким уязвимостям может привести небезопасная работа с БД?
Выберите один ответ:
Инъекции
XSS
Переполнение буфера
Вывод паролей в логи
К какому методу безопасного кодирования относится использование SSL/TLS для шифрования данных при передаче?
Выберите один ответ:
Валидация данных
Шифрование канала связи
Разграничение доступа
Принцип наименьших привилегий
К чему приводит несоблюдение принципов DevSecOps?
Выберите один ответ:
Высокая скорость разработки
Низкая стоимость обслуживания
Высокая надежность и безопасность ПО
Небезопасное и уязвимое ПО
К какому принципу относится валидация и санитизация вводимых данных?
Выберите один ответ:
Управление исключениями
Криптографическая защита
Разделение прав
Валидация и санитизация данных
Какие основные языки поддерживаются инструментами SAST?
Выберите один ответ:
C/C++, Java, PHP, .NET
SQL
HTML
Документация
Какие меры безопасности следует применять при разработке веб-приложений?
Выберите один ответ:
Валидация и фильтрация входных данных для предотвращения атак XSS и SQL-инъекций
Использование HTTPS для защиты передаваемых данных
Ограничение доступа к административным функциям приложения
Все перечисленное
К каким уязвимостям приводит непроверенный ввод данных пользователем?
Выберите один ответ:
Переполнение памяти
XSS и SQL инъекции
Отказ в обслуживании
Выполнение произвольного кода
К какому принципу DevSecOps относится формирование культуры безопасности?
Выберите один ответ:
Автоматизация
Раннее включение безопасности
Культура безопасности
Принципы CI/CD
Какой тип тестирования ПО основан на спецификации и требованиях?
Выберите один ответ:
тестирование безопасности
функциональное тестирование
нагрузочное тестирование
модульное тестирование
К какой области относится обеспечение целостности (SSL/TLS)?
Выберите один ответ:
Доступность
Конфиденциальность
Целостность
Аутентификация
Какие меры безопасности следует применять при разработке мобильного приложения?
Выберите один ответ:
Шифрование хранения данных на устройстве
Защита пользовательской сессии и токенов аутентификации
Ограничение доступа к функциям устройства, таким как камера и микрофон
Все перечисленное
К какой из категорий угроз можно отнести подтверждение подлинности пользователя?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
Как называется процесс выявления уязвимостей в работающем приложении?
Выберите один ответ:
статический анализ
сканирование уязвимостей
динамический анализ
тестирование производительности
К какому инструменту относится тестирование нагрузки для выявления уязвимостей масштабируемости?
Выберите один ответ:
Статический анализ
Линтер кода
Тестирование нагрузки
Сканирование уязвимостей
Как называется проверка работоспособности ПО в производственных условиях перед выпуском?
Выберите один ответ:
альфа-тестирование
бета-тестирование
канареечное тестирование
нагрузочное тестирование
К какой уязвимости может привести небезопасная работа с межсайтовыми запросами?
Выберите один ответ:
Кросс-сайтовый скриптинг
Инъекция SQL
Перехват куки
Выполнение произвольного скрипта
Что является первым шагом в методологии пентестирования?
Выберите один ответ:
Получение доступа к системе
Сбор информации о целевой системе
Проведение контролируемых атак
Подготовление отчета по пентесту
Какой эффект приносит разделение прав и ограничение доступа?
Выберите один ответ:
Ускорение разработки
Сокращение количества уязвимостей
Повышение производительности
Удорожание системы
Какие меры безопасности следует применять при разработке программного обеспечения?
Выберите один или несколько ответов:
Регулярное обновление паролей
Использование аутентификации с двухфакторной проверкой
Шифрование конфиденциальных данных
Использование проприетарных протоколов передачи данных
Как называется методика разработки ПО с акцентом на безопасность?
Выберите один ответ:
Agile
Waterfall
SDL
DevOps
Что относится к недостаткам инструментов DAST?
Выберите один или несколько ответов:
Меньше ложных срабатываний
Не зависит от языка
Нет аналитических сведений о коде
Результаты на поздних этапах конвейера CI/CD
Какие преимущества имеет автоматизация процесса анализа кода при использовании SAST?
Выберите один ответ:
SAST не может интегрироваться в CI/CD-пайплайны
Проверки безопасности выполняются только вручную
Интеграция безопасности в процесс разработки становится сложной
SAST-инструменты могут автоматизировать процесс анализа кода и интегрироваться в CI/CD-пайплайны
Какая задача решается применением DAST на ранних этапах SDLC?
Выберите один ответ:
Увеличение бюджета проекта
Выявление ошибок на этапе разработки
Повышение производительности
Сокращение затрат на тестирование
К какому источнику данных имеют доступ инструменты SAST?
Выберите один ответ:
HTTP-трафик
Исходный код
Конфигурационные файлы
Двоичные файлы
Что из перечисленного представляет собой техническую меру защиты от угроз безопасности?
Выберите один ответ:
Резервное копирование
Разграничение доступа к объектам информационной системы
Обучение персонала
Страхование рисков
Какие данные могут содержаться в реестре известных уязвимостей?
Выберите один или несколько ответов:
Сценарии эксплуатации
Описания уязвимостей
Программного обеспечения
Личные данные пользователей
К какой из категорий угроз можно отнести отказ в обслуживании из-за перегрузки сервера?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
К какому типу тестирования относится DAST?
Выберите один ответ:
Статическому
Динамическому
Уитлбокс
Тестирование нагрузки
Какой сетевой протокол использует шифрование трафика по умолчанию?
Выберите один ответ:
FTP
Telnet
HTTP
SSH
К каким уязвимостям может привести небезопасная работа с сессиями?
Выберите один ответ:
Подтасовка сессий
Перехват аутентификационных данных
Инъекции
XSS
Какие меры безопасности следует применять при разработке приложений, использующих базы данных, для защиты от атак внедрения SQL-кода (SQL-инъекций)?
Выберите один или несколько ответов:
Использование параметризованных запросов или подготовленных выражений
Фильтрация и экранирование входных данных перед их использованием в SQL-запросах
Ограничение привилегий доступа к базе данных для приложения
Отключение механизмов безопасности базы данных для улучшения производительности приложения
К какому методу безопасного программирования относится разделение приложения на подсистемы с разными уровнями доступа?
Выберите один ответ:
Разграничение доступа
Шифрование данных
Валидация данных
Защита от уязвимостей по умолчанию
Как SAST помогает улучшить качество кода?
Выберите один ответ:
Обнаруживает потенциально опасные конструкции в коде
Позволяет обнаружить уязвимости только после компиляции приложения
Исправление найденных ошибок не влияет на безопасность и надежность приложения
Уменьшает количество ошибок только на ранних этапах разработки
Какие меры безопасности помогают предотвратить атаки NAC?
Выберите один или несколько ответов:
Установка и настройка сетевых экранов и межсетевых экранов для контроля доступа и инспекции трафика
Использование механизмов аутентификации и авторизации для контроля доступа к сети
Регулярное обновление и патчинг сетевого оборудования для закрытия известных уязвимостей
Отсутствие мониторинга и анализа сетевого трафика
Как называется принцип проектирования ПО, гласящий: «Не повторяйся»?
Выберите один ответ:
KISS
SOLID
DRY
YAGNI
К какой из категорий угроз можно отнести изменение данных без разрешения пользователя?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
Какие этапы включает SAST?
Выберите один или несколько ответов:
Загрузка кода
Статический анализ
Генерация отчета
Оценка физической безопасности оборудования
Какой эффект имеет валидация и санитизация вводимых данных?
Выберите один ответ:
Повышение надежности
Сокращение времени разработки
Предотвращение инъекций и XSS
Уменьшение трафика
Какую цель имеет пост-эксплуатационная фаза пентестирования?
Выберите один ответ:
Поддержание доступа к системе и документирование результатов
Оценка уровня безопасности системы
Обнаружение и устранение уязвимостей
Выявление потенциальных угроз для системы
Для каких целей используются результаты SAST?
Выберите один или несколько ответов:
Исправление ошибок
Приоритизация тестирования
Оценка качества кода
Проведение тестирования производительности
Какой тип уязвимостей возникает из-за ошибок в логике программы?
Выберите один ответ:
Уязвимости проектирования
Уязвимости конфигурации
Уязвимости реализации
Архитектурные уязвимости
Какое преимущество предоставляет SAST в области безопасности?
Выберите один ответ:
Снижение затрат и усилий при обеспечении безопасности только в поздних стадиях разработки
Раннее обнаружение и исправление проблем стоит гораздо меньше, чем позднее внесение изменений
SAST не помогает обеспечить соблюдение стандартов и требований регуляций
Возможность обнаружения уязвимостей только после выпуска приложения
К какому принципу DevSecOps относится автоматизация процессов проверки безопасности, тестирования и мониторинга?
Выберите один ответ:
Автоматизация
Раннее включение безопасности
Культура безопасности
Принципы CI/CD
Какое условие обязательно для возникновения уязвимости в системе?
Выберите один ответ:
Конфиденциальность информации
Наличие угрозы
Высокая критичность системы
Ошибка в ПО или конфигурации
Что называется ложным срабатыванием (ложным результатом) в контексте SAST?
Выберите один ответ:
Выявление проблем, соответствующих действительности
Выявление проблем, которые не соответствуют действительности
Неправильное исправление найденных ошибок
Отсутствие ошибок в коде приложения
Какова цель DevSecOps?
Выберите один ответ:
Ускорение цикла разработки
Повышение эффективности команд
Интеграция безопасности на всех этапах разработки и эксплуатации ПО
Снижение рисков
К какой из категорий угроз относится подмена программного кода несанкционированным лицом?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
Что из перечисленного является уязвимостью при работе с файлами?
Выберите один ответ:
Проверка длины имени файла
Хеширование паролей в БД
Чтение / запись в произвольное место
Использование HTTPS
Как SAST может помочь в соблюдении стандартов безопасности и требований регуляций?
Выберите один ответ:
Инструменты SAST могут выполнять проверки только на завершающих этапах разработки
Разработчики могут игнорировать нарушения в коде, связанные с безопасностью
Инструменты SAST могут проверять код на соответствие набору правил и стандартов
Проверка соответствия стандартам безопасности возможна только после компиляции приложения
Для каких целей используются результаты SAST?
Выберите один ответ:
Только для фикса ошибок
Для фикса ошибок и приоритезации тестирования
Для оценки качества кода и фикса ошибок
Все перечисленное
Какая угроза безопасности связана с небезопасным хранением паролей?
Выберите один ответ:
Подбор пароля методом перебора
Взлом хранилища паролей и получение доступа к аккаунтам пользователей
Использование уязвимости в процессе аутентификации
Все перечисленное
К какой уязвимости может привести небезопасная работа с подписями?
Выберите один ответ:
Подделка подписи
Перехват сессий
Выполнение произвольного кода
Инъекция SQL
Какие меры безопасности следует применять при разработке мобильных приложений для защиты от обратного инжиниринга?
Выберите один ответ:
Применение механизмов шифрования для защиты чувствительного кода и данных
Использование методов обфускации и сокрытия кода при сборке приложения
Внедрение механизмов проверки целостности приложения (например, с использованием хеш-сумм)
Все перечисленное
Какой подход к тестированию предполагает "черный ящик" без знания внутреннего устройства?
Выберите один ответ:
белый ящик
серый ящик
черный ящик
прозрачный ящик
К какому методу безопасного кодирования относится предоставление наименьших необходимых привилегий пользователей и сервисов?
Выберите один ответ:
Принцип наименьших привилегий
Шифрование данных
Валидация данных
Разграничение доступа
Как называется принцип проектирования ПО, гласящий "Не повторяйся"?
Выберите один ответ:
KISS
SOLID
DRY
YAGNI
Какие меры безопасности следует применять при разработке веб-сайтов для защиты от атак кросс-сайтового скриптинга (XSS)?
Выберите один ответ:
Экранирование или фильтрация входных данных, включая пользовательский ввод
Использование механизмов защиты, таких как Content Security Policy (CSP)
Установка HTTP заголовков, которые запрещают выполнение скриптов на сторонних доменах (X-Frame-Options, X-XSS-Protection)
Все перечисленное
К каким уязвимостям может привести небезопасная работа с файлами?
Выберите один ответ:
Перехват файлов
Выполнение произвольного кода
Подтасовка сессий
Инъекции
Какая цель разработки безопасного ПО комплексным подходом?
Выберите один ответ:
Минимизация затрат
Ускорение процесса
Повышение уровня защиты
Увеличение функционала
К какой цели направлена разработка безопасного ПО комплексным подходом?
Выберите один ответ:
Сокращение бюджета
Увеличение доходов
Повышение уровня защиты
Ускорение разработки
К какой цели относится разработка безопасного ПО комплексным подходом?
Выберите один ответ:
Минимизация затрат
Сокращение сроков
Повышение уровня защиты
Упрощение процесса
К какой цели относится криптографическая защита данных?
Выберите один ответ:
Доступность
Целостность
Конфиденциальность
Аутентичность
К какой из категорий угроз можно отнести перехват личных данных пользователей при передаче по сети?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
К какому источнику данных имеют доступ инструменты SAST?
Выберите один ответ:
Только исходный код
Исходный код и трафик
Только трафик
Спецификации
Какой объект анализируют инструменты SAST?
Выберите один ответ:
Трафик HTTP
Исходный код проекта
Динамическое поведение приложения
Спецификации
Какой подход к тестированию заключается в имитации действий хакера?
Выберите один ответ:
модульное тестирование
интеграционное тестирование
тестирование производительности
тестирование на проникновение
К какой из категорий угроз относится отказ в обслуживании при взломе сайта хакерами?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
К какому принципу относится разделение прав и ограничение доступа?
Выберите один ответ:
Валидация данных
Управление исключениями
Криптографическая защита
Разделение прав и ограничение доступа
К какому мероприятию относится архитектурное проектирование с учетом безопасности?
Выберите один ответ:
Анализ угроз
Проектирование
Использование библиотек
Тестирование
Что означает термин "сегментация сети" в контексте ИБ?
Выберите один ответ:
разбиение данных на части
разделение сети на зоны
фильтрация трафика
блокировка IP-адресов
Что такое атака отказа в обслуживании (DDoS) и какие меры безопасности помогают защититься от нее? Атака отказа в обслуживании (DDoS) - это атака, при которой злоумышленник пытается перегрузить ресурсы системы, чтобы она стала недоступной для легитимных пользователей. Некоторые меры безопасности, которые помогают защититься от DDoS-атак, включают:
Выберите один ответ:
Использование сетевых устройств, способных распознавать и отфильтровывать подозрительный трафик
Использование распределенных служб защиты от DDoS (DDoS mitigation services)
Масштабирование инфраструктуры для обработки большого количества запросов
Все перечисленное
Какой объект анализируют инструменты SAST?
Выберите один ответ:
Исходный код
Конфигурационные файлы
Динамическое поведение
Трафик
К какой уязвимости может привести отсутствие проверки на переполнение при работе со строками?
Выберите один ответ:
Переполнение буфера
Кросс-сайтовый скриптинг
Выполнение произвольного кода
Перехват аутентификационных данных
Какой способ позволяет предотвратить атаки типа SQL-инъекции?
Выберите один ответ:
ввод капчи
проверка входных данных
использование VPN
сканирование уязвимостей
Какой принцип проектирования ПО гласит "Проектируй модули с четко определенными задачами"?
Выберите один ответ:
единственная ответственность
инкапсуляция
разделение интерфейсов
инверсия зависимостей
Какой эффект достигается минимизацией поверхности атаки системы?
Выберите один ответ:
Увеличивается количество уязвимостей
Сокращается функционал системы
Усложняется эксплуатация уязвимостей
Уменьшается сроки разработки
Какую из категорий угроз характеризует защита от несанкционированного изменения данных?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
Для каких целей используются результаты SAST?
Выберите один ответ:
Только исправление ошибок
Исправление ошибок и приоритезация тестирования
Исправление ошибок и оценка качества кода
Все перечисленное
Какие меры безопасности помогут предотвратить SQL-инъекции?
Выберите один ответ:
Использование параметризованных запросов
Валидация и фильтрация входных данных
Хэширование паролей
Все перечисленное
К какой цели приводит применение DAST на поздних этапах SDLC?
Выберите один ответ:
Увеличению времени исправления ошибок
Сокращению затрат на тестирование
Повышению качества тестирования
Ускорению разработки
Как называется процесс поиска уязвимостей в исходном коде программы?
Выберите один ответ:
статический анализ кода
динамический анализ
сканирование уязвимостей
тестирование на проникновение
Какой объект анализируется инструментами SAST?
Выберите один ответ:
Исходный код
Двоичные файлы
Трафик HTTP
Спецификации
Какой тип анализа применяется SAST?
Выберите один ответ:
Статический
Динамический
Анализ потока данных
Трассировка
Какие этапы включает SAST?
Выберите один ответ:
Загрузка кода
Статический анализ
Генерация отчета
Все перечисленное
Какая угроза безопасности связана с использованием устаревших или уязвимых компонентов в программном обеспечении?
Выберите один ответ:
Возможность эксплуатации известных уязвимостей и получение несанкционированного доступа
Перехват и чтение передаваемых данных
Отказ в обслуживании вследствие уязвимостей в компонентах
Все перечисленное
Какие меры безопасности следует применять при разработке IoT-устройств?
Выберите один ответ:
Использование сильных аутентификационных механизмов
Шифрование передаваемых данных
Регулярные обновления прошивки для исправления уязвимостей
Все перечисленное
К какому принципу относится управление исключениями и обработка ошибок?
Выберите один ответ:
Криптографическая защита
Разделение прав
Валидация данных
Управление исключениями
К какой уязвимости может привести небезопасная работа с аутентификационными данными, такими как токены?
Выберите один ответ:
Перехват аутентификационных данных
Кросс-сайтовый скриптинг
Инъекция SQL
Переполнение буфера
К какой из категорий угроз относится утечка конфиденциальной информации?
Выберите один ответ:
Угроза конфиденциальности
Угроза целостности
Угроза доступности
Угроза аутентичности
К какому принципу безопасного программирования относится разработка на основе принципа наименьших привилегий?
Выберите один ответ:
Защита от уязвимостей по умолчанию
Принцип наименьших привилегий
Валидация входных данных
Разграничение доступа
Какие меры безопасности следует применять для защиты от атак перебора паролей?
Выберите один ответ:
Ограничение количества неудачных попыток входа
Использование механизмов блокировки аккаунта после нескольких неудачных попыток
Использование сильных паролей и механизмов сложной аутентификации
Все перечисленное
К какой задаче относится применение практик безопасного кодирования?
Выберите один ответ:
Анализ угроз
Разработка архитектуры
Использование библиотек
Разработка безопасного ПО
На какой этап жизненного цикла ПО относится разработка безопасного кода?
Выберите один ответ:
Анализ требований
Проектирование
Разработка
Тестирование
Для каких целей может быть использована информация, полученная с помощью SAST?
Выберите один ответ:
Только для исправления ошибок
Для исправления ошибок и оценки качества кода
Для исправления ошибок, приоритезации тестирования и оценки качества кода
Для отчетов
В чем заключается основная цель тестирования на проникновение?
Выберите один ответ:
поиск уязвимостей системы
проверка скорости работы
тестирование на совместимость
анализ исход
К какому инструменту безопасного кодирования относится анализ уязвимостей на основе спецификаций?
Выберите один ответ:
Статический анализ
Логирование
Тестирование проникновения
Анализ спецификаций
Как называется атака, использующая поддельные SMTP письма от имени законного пользователя?
Выберите один ответ:
троян
вымогатель
фишинг
вирус
Какой этап обеспечения безопасности включает тестирование безопасности программного обеспечения?
Выберите один ответ:
Анализ требований
Тестирование безопасности
Разработка безопасных архитектурных решений
Этап определения требований безопасности
---
ПРОМЕЖУТОЧНЫЕ ТЕСТЫ 1-5
Какая угроза связана с возможностью чтения данных приложением, к которому нет доступа?
Выберите один ответ:
нарушение конфиденциальности
нарушение целостности
отказ в обслуживании
несанкционированный доступ
Что означает термин "размер атакующей поверхности"?
Выберите один ответ:
количество уязвимостей в ПО
сложность защиты системы
количество точек доступа для атаки
размер кодовой базы
Какой способ хранения паролей является наиболее безопасным?
Выберите один ответ:
в открытом виде
хеширование
шифрование
хеширование с солью
Какой принцип разработки ПО заключается в минимизации привилегий доступа?
Выберите один ответ:
Keep it Simple
Don't Repeat Yourself
Fail Fast
Principle of Least Privilege
Что из перечисленного относится к задачам обеспечения безопасности при разработке ПО?
Выберите один ответ:
защита от вредоносного ПО
контроль физического доступа
проверка вводимых данных
резервное копирование
Какой метод анализа безопасности ПО выполняется во время исполнения кода?
Выберите один ответ:
статический анализ
динамический анализ
сканирование уязвимостей
аудит кода
Какие из этих угроз наиболее актуальны для веб-приложений?
Выберите один ответ:
переполнение буфера
подбор пароля
clickjacking
отказ в обслуживании
На каком этапе разработки ПО уязвимости обходятся дешевле всего?
Выберите один ответ:
проектирование
кодирование
тестирование
внедрение
Какое из перечисленного не относится к этапам SDL?
Выберите один ответ:
обучение
проектирование
развертывание
эксплуатация
На каком этапе разработки ПО определяются ключевые требования к безопасности?
Выберите один ответ:
проектирование
тестирование
внедрение
анализ требований
Как называется методика разработки ПО с акцентом на безопасность на всех этапах?
Выберите один ответ:
Agile
Scrum
SDL
DevOps
Как называется тип уязвимостей, связанный с некорректной фильтрацией вводимых данных?
Выберите один ответ:
атака типа "отказ в обслуживании"
межсайтовый скриптинг
инъекция кода
подбор пароля
Что из перечисленного не является категорией уязвимостей ПО?
Выберите один ответ:
аутентификация
межсайтовый скриптинг
DoS
инъекция кода
Какой инструмент позволяет проанализировать исходный код на уязвимости?
Выберите один ответ:
сниффер трафика
сканер уязвимостей
SAST
антивирус
Какой метод тестирования заключается в имитации атак хакера на систему?
Выберите один ответ:
модульное тестирование
интеграционное тестирование
тестирование производительности
тестирование на проникновение
Что является ключевой целью при анализе требований к безопасности ПО?
Выберите один ответ:
классификация данных по уровням доступа
выявление противоречий в требованиях заказчика
определение атакующей поверхности системы
сопоставление требований бизнеса и комплаенса
Какой тип уязвимостей чаще всего используется при атаках на веб-приложения?
Выберите один ответ:
переполнение буфера
межсайтовый скриптинг
грубая силовая атака
отказ в обслуживании
Какой способ может защитить от атак типа "отказ в обслуживании"?
Выберите один ответ:
ввод капчи
ограничение количества запросов
проверка длины пароля
создание резервных копий
Как называется техника разделения кода на независимые модули?
Выберите один ответ:
инкапсуляция
наследование
полиморфизм
модульность
Как называется принцип разработки ПО, предполагающий отсутствие дублирования кода?
Выберите один ответ:
KISS
SOLID
DRY
YAGNI
Какой подход к обработке ошибок считается наиболее надежным с точки зрения ИБ?
Выберите один ответ:
возврат 500 ошибки
вывод сообщения об ошибке
запись ошибки в лог
отлов исключения с корректной обработкой
Какие аспекты включает в себя безопасное кодирование?
Выберите один ответ:
использование шаблонов проектирования
выбор надежных криптоалгоритмов
валидация входных данных
все перечисленное
Какое кодирование входных данных помогает предотвратить XSS атаки?
Выберите один ответ:
URL-кодирование
Base64
HTML-кодирование
кодирование UTF-8
Какой подход к разработке ПО подразумевает его создание малыми инкрементами?
Выберите один ответ:
Agile
Waterfall
Spiral
RAD
Какое средство позволяет проанализировать код на наличие потенциальных уязвимостей?
Выберите один ответ:
фаервол
сканер уязвимостей
SAST
сетевой сниффер
К какой уязвимости может привести небезопасное использование временных файлов?
Выберите один ответ:
Выполнение произвольного кода
Вывод конфиденциальной информации
Перехват сессий
Уязвимости хранения
К какой уязвимости может привести неправильное снятие экранирования при выводе данных на страницу?
Выберите один ответ:
Кросс-сайтовый скриптинг
Вывод конфиденциальной информации
Переполнение буфера
Инъекция SQL
К каким методам безопасного кодирования относится использование проверки данных на входе?
Выберите один ответ:
Валидация данных
Аутентификация
Шифрование
Разграничение доступа
К каким уязвимостям может привести небезопасное использование криптографических функций?
Выберите один ответ:
Уязвимости шифрования
Уязвимости генерации ключей
Уязвимости валидации данных
Уязвимости межсайтового скриптинга
К какому инструменту относится анализ протоколов для выявления уязвимостей?
Выберите один ответ:
Линтер кода
Сканирование уязвимостей
Тестирование нагрузки
Анализ протоколов
К какому инструменту безопасного кодирования относится проверка конфигурации приложения?
Выберите один ответ:
Статический анализ
Линтер кода
Тестирование конфигурации
Трассировка потока
К каким принципам безопасного кодирования относится использование наименьших привилегий?
Выберите один ответ:
Валидация данных
Принцип наименьших привилегий
Защита от XSS атак
Внедрение TLS
К какой уязвимости может привести использование устаревших или неподдерживаемых компонентов?
Выберите один ответ:
Уязвимости конфигурации баз данных
Уязвимости выполнения произвольного кода
Уязвимости путей логирования
Уязвимости библиотек
К каким инструментам можно отнести статический и динамический анализ исходного кода?
Выберите один ответ:
Линтер кода
Тестирование нагрузки
Сканирование уязвимостей
Тестирование проникновения
К какой уязвимости может привести небезопасная работа с ошибками и исключениями в коде?
Выберите один ответ:
Вывод конфиденциальной информации
Выполнение произвольного кода
Переполнение буфера
Нарушение целостности данных
К какой практике безопасного кодирования относится хранение конфиденциальных данных в зашифрованном виде?
Выберите один ответ:
Валидация данных
Аутентификация
Шифрование данных
Разграничение доступа
К какому методу безопасного кодирования относится проверка входных параметров методов и функций?
Выберите один ответ:
Валидация параметров
Аутентификация
Шифрование данных
Разграничение доступа
К какой практике безопасного кодирования относится использование проверенных библиотек?
Выберите один ответ:
Валидация данных
Аутентификация
Защищенное программирование
Шифрование трафика
К каким инструментам относится сканирование уязвимостей?
Выберите один ответ:
Тестирование проникновения
Статический анализ исходного кода
Динамический анализ
Тестирование нагрузки
К каким инструментам относится линтер кода?
Выберите один ответ:
Тестирование проникновения
Статический анализ исходного кода
Динамический анализ
Тестирование на ошибки конфигурации
К каким уязвимостям могут привести ошибки в алгоритмах генерации случайных чисел?
Выберите один ответ:
Уязвимости шифрования
Уязвимости аутентификации
Уязвимости генерации ключей
Уязвимости разграничения доступа
К каким уязвимостям может привести неверная настройка разграничения доступа?
Выберите один ответ:
Инъекции
Переполнение буфера
Доступ неавторизованных пользователей
Уязвимости переполнения памяти
К каким уязвимостям может привести непроверенный ввод пользовательских данных?
Выберите один ответ:
Инъекции
Переполнение буфера
Уязвимости межсайтового скриптинга
Уязвимости кросс-сайтовой подстановки
К каким элементам HTTP трафика имеет доступ DAST?
Выберите один ответ:
Только к ответам сервера
Только к запросам клиента
К запросам и ответам
К веб-трафику
Каким образом DAST проверяет приложение на уязвимости?
Выберите один ответ:
Путем статического анализа исходного кода
Запуском определенных профилей трафика
Моделированием архитектуры
Динамическим тестированием на основе сценариев
Каким образом осуществляется анализ ответов сервера на запросы в процессе DAST?
Выберите один или несколько ответов:
На предмет наличия ошибок и исключений
На предмет наличия вредоносного кода
На предмет производительности
На предмет соответствия формату
К какой основной цели направлено DAST?
Выберите один ответ:
Статический анализ исходного кода
Выявление уязвимостей
Оценка производительности
Анализ архитектуры
Какие основные этапы включает процесс DAST?
Выберите один или несколько ответов:
Подготовка тестовой среды
Модификация и анализ трафика
Генерация отчета
Валидация результатов
Каким способом DAST проверяет приложение на уязвимости?
Выберите один или несколько ответов:
Путем анализа исходного кода
Моделированием поведения
Запуском сценариев тестирования
Статическим анализом базы данных
К каким элементам относится HTTP трафик при DAST?
Выберите один или несколько ответов:
Запросы
Ответы
Файлы конфигурации
База данных
Какие данные могут содержаться в реестре известных уязвимостей?
Выберите один ответ:
Информация об уязвимых компонентах
Описания уязвимостей
Сценарии эксплуатации
Все перечисленное
К какой цели направлено подключение DAST к ранним этапам SDLC?
Выберите один ответ:
Ускорение разработки
Повышение качества тестирования
Сокращение затрат на исправление ошибок
Увеличение бюджета
Какие основные методы модификации трафика используются при DAST?
Выберите один ответ:
Изменение URL параметров
Изменение заголовков
Изменение параметров POST запроса
Все перечисленное
Какие основные типы уязвимостей выявляются при DAST?
Выберите один ответ:
Синтаксические ошибки
Уязвимости конфигурации
Уязвимости логического дизайна
Все перечисленное
Чему способствует применение DAST на ранних этапах жизненного цикла ПО?
Выберите один ответ:
Повышению затрат на тестирование
Замедлению процесса разработки
Сокращению времени исправления ошибок
Ухудшению качества тестирования
Каким образом осуществляется сканирование при DAST?
Выберите один ответ:
Анализом исходного кода
Запуском приложения и взаимодействием с ним
Статическим анализом бинарных файлов
Моделированием архитектуры
Какая информация собирается о приложении в процессе DAST?
Выберите один ответ:
HTTP трафик
Структура хранения данных
Исходный код
Архитектурная документация
К каким источникам данных имеет доступ инструмент DAST?
Выберите один или несколько ответов:
Исходный код
Реестр известных уязвимостей
HTTP трафик между клиентом и сервером
База данных приложения
Укажите последовательность этапов обеспечения безопасности при разработке ПО.
Мониторинг безопасности
Ответ 1
Выберите...
1
4
3
2
5
Обновление безопасности
Ответ 2
Выберите...
1
4
3
2
5
Разработка безопасности
Ответ 3
Выберите...
1
4
3
2
5
Тестирование безопасности
Ответ 4
Выберите...
1
4
3
2
5
Проектирование безопасности
Ответ 5
Выберите...
1
4
3
2
5
Какая уязвимость позволяет злоумышленнику выдавать себя за другого пользователя?
Выберите один ответ:
SQL-инъекция
Межсайтовый скриптинг
Подбор пароля
Подмена межсайтовых запросов
Какой способ может защитить от атак типа «отказ в обслуживании»?
Выберите один ответ:
Ввод капчи
Ограничение количества запросов
Проверка длины пароля
Создание резервных копий
Что означает термин «размер атакующей поверхности»?
Выберите один ответ:
Количество уязвимостей в ПО
Сложность защиты системы
Количество точек доступа для атаки
Размер кодовой базы
Какое кодирование входных данных помогает предотвратить XSS-атаки?
Выберите один ответ:
URL-кодирование
Base64
HTML-кодирование
Кодирование UTF-8
Какой стандарт определяет требования к безопасному коду для финансовых приложений?
Выберите один ответ:
OWASP
PCI DSS
ISO 27001
NIST
Что из перечисленного представляет собой уязвимость, связанную с аутентификацией?
Выберите один ответ:
Отсутствие шифрования БД
Возможность подбора пароля
Скрипты на стороне клиента
MITM-атака
Какой механизм используется для предотвращения повторной отправки данных в протоколе TLS?
Выберите один ответ:
Хеши
Соли
nonce
Маркеры сессии
Какой механизм помогает защититься от SQL-инъекции?
Выберите один ответ:
Валидация входных данных
Хеширование паролей
HTTPS
TLS
Установите последовательность процесса анализа и сопоставления требований к безопасности задач на примере проектирования веб-приложения электронной коммерции.
Сопоставление требований
Ответ 1
Выберите...
1
2
3
4
Разработка мер безопасности
Ответ 2
Выберите...
1
2
3
4
Сбор исходных данных
Ответ 3
Выберите...
1
2
3
4
Формализация требований
Ответ 4
Выберите...
1
2
3
4
Какая конструкция в языках программирования помогает избежать утечек информации?
Выберите один ответ:
try/catch
if/else
for/while
using/finally
Что из перечисленного является уязвимостью в коде?
Выберите один или несколько ответов:
Использование непроверенных данных
Отсутствие обработки ошибок
Жестко запрограммированные ключи
Неправильная обработка ошибок
Какой подход к валидации входных данных является наиболее надежным?
Выберите один ответ:
На клиенте
На сервере
Комбинированный
Валидация не нужна
Как называется уязвимость, связанная с выполнением произвольного кода на сервере?
Выберите один ответ:
DoS
Кросс-сайт скриптинг
Инъекция кода
Подбор пароля
Какой механизм шифрования данных обеспечивает конфиденциальность в БД?
Выберите один ответ:
SSL
TLS
RBAC
Прозрачное шифрование
К каким уязвимостям может привести некачественное тестирование приложения?
Выберите один ответ:
Уязвимости инъекций
Уязвимости переполнения памяти
Уязвимости межсайтового скриптинга
Уязвимости конфигурации
К каким уязвимостям может привести неправильная настройка HTTPS?
Выберите один ответ:
Перехват аутентификационных данных
Нарушение конфиденциальности трафика
Уязвимости межсайтовых запросов
Уязвимости валидации данных
К какому методу безопасного кодирования относится проверка типов и диапазонов значений?
Выберите один ответ:
Валидация данных
Аутентификация
Разграничение доступа
Защищенное хранение
Какой тип уязвимости может возникнуть при небезопасной работе с сессиями?
Выберите один ответ:
Подтасовка сессий
Перехват аутентификационных данных
Инъекция кода
Вывод конфиденциальной информации
Какие основные типы уязвимостей выявляются при DAST?
Выберите один или несколько ответов:
Синтаксические ошибки
Уязвимости конфигурации
Уязвимости логического дизайна
Утечки конфиденциальной информации
Какие данные могут содержаться в реестре известных уязвимостей?
Выберите один или несколько ответов:
Информация об уязвимых компонентах
Описания уязвимостей
Сценарии эксплуатации
Личные данные пользователей
Какая основная задача сравнения ответа сервера с референтным?
Выберите один ответ:
Проверка функционала
Определение изменения поведения
Оценка производительности
Тестирование уязвимостей
К каким элементам HTTP-трафика имеет доступ DAST?
Выберите один ответ:
Только к ответам сервера
Только к запросам клиента
К запросам и ответам
К веб-трафику
Какой инструмент используется для управления компонентами с открытым исходным кодом в методологии SCA?
Выберите один ответ:
SAST
IAST
OSS
DAST
Что представляет собой пентестирование (проникновение)?
Выберите один ответ:
Процесс активного исследования системы для выявления уязвимостей
Тестирование системы с целью получения доступа к ее данным
Идентификация и устранение всех уязвимостей в системе
Процесс анализа логов работы приложения
Чем инструменты DAST (динамическое тестирование приложений) отличаются от SAST?
Выберите один ответ:
DAST анализирует исходный код приложения, а не его выполнение
DAST обнаруживает только уязвимости, связанные с ошибками в коде
DAST анализирует приложение во время его выполнения, а не исходный код
DAST не может обнаружить уязвимости, связанные с конфигурацией и сетевыми настройками
Какие функции должен иметь инструмент SAST для защиты жизненного цикла разработки программного обеспечения (SDLC)?
Выберите один или несколько ответов:
Удобный интерфейс для разработчиков
Возможности быстрого сканирования
Низкий уровень ложных срабатываний
Простая интеграция в конвейер CI/CD
В чем заключается языковая зависимость инструментов SAST?
Выберите один ответ:
Отсутствие совместимости с различными операционными системами
Отсутствие возможности интеграции с CI/CD-пайплайном
Ограничение в наличии инструментов SAST для нишевых языков программирования
Отсутствие поддержки устаревших версий языков программирования
Установите последовательность в методологии пентестирования.
Подготовительный этап
Ответ 1
Выберите...
1
2
4
3
Эксплуатация уязвимостей
Ответ 2
Выберите...
1
2
4
3
Пост-эксплуатация
Ответ 3
Выберите...
1
2
4
3
Анализ уязвимостей
Ответ 4
Выберите...
1
2
4
3
Какой тип пентестирования предоставляет минимальную информацию о системе для тестирования?
Выберите один ответ:
Черный ящик (Black Box)
Серый ящик (Gray Box)
Белый ящик (White Box)
Не существует минимальной информации для пентестирования
Что включает анализ состава программного обеспечения (SCA)?
Выберите один ответ:
Сканирование и обнаружение уязвимостей в системе
Проверку соответствия требованиям клиента перед пентестированием
Управление компонентами с открытым исходным кодом в проекте
Проведение контролируемых атак на систему
Что является важным аспектом проведения пентестирования?
Выберите один ответ:
Обновление знаний и навыков пентестера
Проведение пентеста без сотрудничества с командой безопасности
Обязательное получение контроля над системой
Профессиональное развитие разработчиков
Какой тип пентестирования предоставляет полный доступ к системе, включая исходный код и документацию?
Выберите один ответ:
Черный ящик (Black Box)
Белый ящик (White Box)
Серый ящик (Gray Box)
Пентестирование не предоставляет полного доступа к системе
Какова основная цель пентестирования?
Выберите один ответ:
Проникнуть в систему и изменить ее данные
Идентифицировать уязвимости в системе
Оценить эффективность существующих механизмов защиты
Провести безопасность тестирования на предмет соответствия требованиям закона
Чем инструменты OSS (инструменты контроля кода с открытым исходным кодом) отличаются от SAST?
Выберите один ответ:
OSS проверяет код приложения, в то время как SAST анализирует зависимости
OSS не анализирует сам исходный код приложения, а только зависимости
SAST проверяет только использование устаревших или уязвимых версий компонентов
OSS не может обнаружить уязвимости, связанные с ошибками в коде
Какая практика позволяет обнаружить устаревшие зависимости с уязвимостями?
Выберите один ответ:
Статический анализ кода
Сканирование уязвимостей
Анализ зависимостей
Динамический анализ
Какой принцип разработки ПО заключается в минимизации доступа к данным и ресурсам?
Выберите один ответ:
Keep it Simple
Fail Fast
Don't Repeat Yourself
Principle of Least Privilege
Какой подход к хранению паролей считается наиболее безопасным?
Выберите один ответ:
В открытом виде
Хеширование
Шифрование
Хеширование с солью
Какое свойство хорошего кода означает, что каждая функция решает строго одну задачу?
Выберите один ответ:
Связность
Целостность
Модульность
Атомарность
Какие аспекты включает в себя безопасное кодирование?
Выберите один или несколько ответов:
Использование шаблонов проектирования
Выбор надежных криптоалгоритмов
Валидация входных данных
Игнорирование валидации ввода
К какому методу безопасного кодирования относится расстановка брандмауэров и проверка входящих запросов?
Выберите один ответ:
Фильтрация данных
Шифрование трафика
Разграничение доступа
Валидация данных
К каким уязвимостям может привести отключение фильтрации HTML при выводе данных на страницу?
Выберите один ответ:
Инъекции SQL
Кросс-сайтовый скриптинг
Переполнение буфера
Вывод конфиденциальной информации
К какому инструменту безопасного кодирования относится анализ потока данных?
Выберите один ответ:
Линтер кода
Сканирование уязвимостей
Тестирование нагрузки
Трассировка потока
К какому типу тестирования относится DAST?
Выберите один ответ:
Статическое тестирование
Динамическое тестирование
Тестирование функциональности
Тестирование производительности
Какую цель преследует сравнение ответов с референтными при DAST?
Выберите один ответ:
Определение уязвимостей масштабируемости
Определение семантических ошибок
Выявление изменений поведения
Тестирование производительности
Как может осуществляться взаимодействие инструмента DAST с приложением?
Выберите один ответ:
Через API
Посредством интерфейса
Путем HTTP-трафика
Через SAST-результаты
Какие основные методы модификации трафика используются при DAST?
Выберите один или несколько ответов:
Изменение URL-параметров
Изменение заголовков
Изменение параметров POST-запроса
Игнорирование HTTP-трафика
