Trắc nghiệm kiến thức về hack

Đây là một gói câu hỏi giáo dục ngắn nhằm mục đích cung cấp cho bạn một vài kỹ thuật mà tin tặc sử dụng và giúp bạn bảo vệ mã code của mình khỏi sự tấn công. Bạn sẽ được cung cấp đáp án đúng cùng giải thích chi tiết sau khi bạn đã trả lời xong tất cả các câu hỏi.

1. Khai thác bảo mật là gì?

  1. Một ứng dụng được chuẩn bị sẵn để lợi dụng một điểm yếu đã biết.
  2. Cách thức tìm cách lấy thông tin như tên người dùng, mật khẩu và chi tiết thẻ tín dụng bằng cách giả mạo như một thực thể đáng tin cậy trong giao tiếp điện tử.
  3. Một mô-đun được nghiên cứu bởi hầu hết sinh viên ngành Khoa học Máy tính.
  4. Giải pháp Internet di động

2. SQL Injection là gì?

  1. Một ngôn ngữ lập trình đa năng
  2. Một loại khai thác bảo mật trong đó kẻ tấn công thêm mã Ngôn ngữ truy vấn mang tính cấu trúc (SQL) vào hộp nhập biểu mẫu của trang Web để truy cập vào tài nguyên hoặc thực hiện thay đổi dữ liệu.
  3. Một ngôn ngữ được ghi lại dựa trên nguyên mẫu, sử dụng chủ yếu dưới dạng JavaScript ở phía máy khách, được triển khai như một phần của trình duyệt Web để cung cấp các giao diện người dùng và trang web động nâng cao.
  4. Một chương trình đố vui của Mỹ về nhiều lĩnh vực: lịch sử, văn học, nghệ thuật, văn hóa đại chúng, khoa học, thể thao, địa lý, từ ngữ, và nhiều hơn nữa.

3. Có thể ngăn chặn SQL Injection bằng cách nào?

  1. “Khử trùng” dữ liệu đầu vào của người dùng (đảm bảo rằng người dùng không thể nhập bất cứ điều gì khác ngoài những gì họ được cho phép).
  2. Không sử dụng SQL nữa
  3. Đặt mã của bạn ở chế độ công khai.
  4. Tất cả những cách trên.

4. Password cracking là gì?

  1. Một từ hoặc chuỗi ký tự bí mật được sử dụng để xác thực, để chứng minh danh tính hoặc có quyền truy cập vào tài nguyên.
  2. Một thuật ngữ được sử dụng để mô tả sự xâm nhập vào một mạng, hệ thống hoặc tài nguyên, có hoặc không có sử dụng công cụ để mở khóa tài nguyên đã được bảo mật bằng mật khẩu.
  3. Một giao thức mã hóa cung cấp bảo mật truyền thông qua Internet.
  4. Ngôn ngữ đánh dấu.

5. Một hacker "mũ trắng" là gì?

  1. Một người chuyên về thử nghiệm thâm nhập và các phương pháp thử nghiệm khác để đảm bảo tính bảo mật của hệ thống thông tin của một tổ chức
  2. Người nào đó đột nhập vào hệ thống máy tính hoặc mạng với mục đích xấu.
  3. Một hacker đội mũ trắng.
  4. Tất cả những điều trên.

6. Packet sniffer là gì?

  1. Một ngôn ngữ script phía máy chủ đa năng được thiết kế với mục đích ban đầu là phục vụ phát triển web để tạo ra các trang web động.
  2. Một bộ quy tắc để mã hóa tài liệu dưới dạng máy có thể đọc được.
  3. Một ứng dụng nắm bắt các gói dữ liệu, có thể được sử dụng để “bắt” mật khẩu và dữ liệu khác khi chuyển qua mạng.
  4. Tất cả những điều trên.

7. Cross-site scripting là gì?

  1. Một ngôn ngữ lập trình cho phép kiểm soát một hoặc nhiều ứng dụng.
  2. Một loại lỗ hổng bảo mật máy tính thường được tìm thấy trong các ứng dụng Web, cho phép kẻ tấn công chèn tập lệnh phía máy khách vào các trang Web được người dùng khác xem.
  3. Một loại ngôn ngữ script chuyên dùng để điều khiển máy tính.
  4. Tài liệu hoặc tài nguyên thông tin phù hợp với World Wide Web và có thể được truy cập thông qua trình duyệt web và hiển thị trên màn hình hoặc thiết bị di động.

8. Social Engineering là gì?

  1. Kĩ thuật sai khiến mọi người thực hiện hành vi nào đó hoặc tiết lộ thông tin bí mật.
  2. Một môn học kỹ thuật chuyên nghiệp liên quan đến việc thiết kế, thi công và bảo trì môi trường vật lý và tự nhiên, bao gồm các công trình như đường giao thông, cầu, kênh đào, đập và các tòa nhà.
  3. Một môn học kỹ thuật áp dụng các nguyên tắc của vật lý và khoa học vật liệu để phân tích, thiết kế, sản xuất và bảo trì các hệ thống cơ khí.
  4. Sự điều khiển trực tiếp của con người đối với bộ gen của một sinh vật bằng cách sử dụng công nghệ DNA hiện đại.

9. Rootkit là gì?

  1. Một bộ kit được các nhà sinh học sử dụng khi làm việc với các loại thực vật.
  2. Tên mặc định của thư mục UNIX.
  3. Rootkit là được thiết kế để qua mặt các phương pháp bảo mật máy tính.
  4. Một máy chủ định danh cho vùng root của Domain Name System. Nó trực tiếp trả lời các yêu cầu cho các bản ghi trong vùng root và trả lời các yêu cầu khác để trả về một danh sách các máy chủ định danh có thẩm quyền được chỉ định cho tên miền cấp cao thích hợp (TLD).

10. Spoofing attack là gì?

  1. Một kỹ thuật trong môn sumo của Nhật Bản.
  2. Một cuộc tấn công giả mạo liên quan đến một chương trình, hệ thống hoặc trang web giả mạo, tiến hành giả mạo dữ liệu thành công và do đó được người dùng hoặc một chương trình khác coi là hệ thống đáng tin cậy. Mục đích của việc này thường là đánh lừa các chương trình, hệ thống hoặc người dùng để họ tiết lộ thông tin bí mật, chẳng hạn như tên người dùng và mật khẩu cho kẻ tấn công.
  3. Cả hai

Đáp án và giải thích:

1. A. Khai thác bảo mật (Security exploit) là một ứng dụng được chuẩn bị trước để tận dụng lợi thế của một điểm yếu đã biết. Các ví dụ phổ biến về khai thác bảo mật là SQL injection, Cross Site Scripting và Cross Site Request Forgery, nó lạm dụng các lỗ hổng bảo mật xuất hiện do quá trình lập trình không đạt tiêu chuẩn. Khai thác khác có thể được sử dụng thông qua FTP, HTTP, PHP, SSH, Telnet và một số trang web. Chúng rất phổ biến trong tấn công mạng, trang web/tên miền.

2. B. Truy vấn SQL là những yêu cầu để thực hiện hành động nào đó trên cơ sở dữ liệu. Thông thường trên các biểu mẫu web được sử dụng để xác thực người dùng, khi người dùng nhập vào username, password, những giá trị này sẽ được chèn vào truy vấn SELECT. Nếu giá trị đã nhập được tìm thấy trong cơ sở dữ liệu thì người dùng được phép truy cập và ngược lại, yêu cầu truy cập sẽ bị từ chối. Nếu các form web không có cơ chế để chặn các input khác với username và password, kẻ tấn công có thể sử dụng những form này để gửi yêu cầu của chúng đến cơ sở dữ liệu. Yêu cầu đó có thể là tải xuống toàn bộ cơ sở dữ liệu hoặc tương tác với nó theo những cách trái phép khác.

3. A. Cách tốt nhất là kiểm duyệt cẩn thận dữ liệu được người dùng nhập vào, mọi dữ liệu nhận được từ người dùng phải được coi là không an toàn.

4. B. Password cracking (bẻ khóa mật khẩu) là quá trình khôi phục password từ dữ liệu được lưu trữ hoặc truyền trong một hệ thống máy tính. Phương pháp được dùng nhiều nhất là liên tục thử đoán password. Cách khác là báo cáo quên mật khẩu và thay đổi nó. Mục đích của password cracking là có thể giúp người dùng khôi phục mật khẩu khi bị quên (dù đặt mật khẩu mới hoàn toàn sẽ mang đến ít rủi ro bảo mật hơn, nhưng lại liên quan đến quyền quản trị hệ thống), để truy cập trái phép đến hệ thống, hoặc được dùng như một biện pháp phòng ngừa giúp quản trị viên hệ thống đo lường mức độ dễ bẻ khóa của mật khẩu.

5. A. Thuật ngữ “white hat” - mũ trắng để đề cập đến những ethical hacker - hacker có đạo đức, hoặc một chuyên gia bảo mật máy tính, chuyên kiểm thử thâm nhập và các phương pháp thử nghiệm khác để đảm bảo an toàn cho hệ thống thông tin của một tổ chức.

6. C. Trình phân tích gói tin (còn được gọi là bộ phân tích mạng, phân tích giao thức hay trình thám thính, hoặc đối với những loại mạng cụ thể, trình thám thính không dây, trình thám thính Ethernet) là một chương trình máy tính hoặc một phần của phần cứng, có thể chặn và ghi lại lưu lượng truy cập trên toàn bộ mạng hoặc một phần của mạng. Khi luồng dữ liệu chạy qua mạng, trình phân tích gói tin sẽ “bắt lấy” từng gói tin và nếu cần, nó sẽ giải mã dữ liệu thô của gói tin, hiển thị giá trị của các trường khác nhau trong gói để phân tích nội dung của nó theo RFC hoặc các thông số kỹ thuật thích hợp khác.

7. B. Cross-site scripting (XSS) là một loại lỗ hổng bảo mật máy tính thường được tìm thấy trong các ứng dụng web, cho phép kẻ tấn công tiêm mã (phía client) vào trang web được người dùng khác xem. Lỗ hổng XSS có thể được sử dụng bởi hacker để vượt qua các kiểm soát truy cập như chính sách gốc (origin policy). Vào năm 2007, Symantec đã thống kê được có đến 80.5% vụ tấn công bảo mật liên quan đến XSS.

8. A. Social engineering là kiểu tấn công dựa vào sự tương tác của con người và thường liên quan đến việc thao túng người dùng phá vỡ các quy trình bảo mật thông thường, từ đó kẻ tấn công có thể truy cập vào hệ thống, mạng, địa điểm thực hoặc để đạt được lợi ích tài chính.

9. C. Rootkit được thiết kế để qua mặt các chương trình diệt virus trên máy tính, và có thể có mặt trong bất kỳ bộ chương trình phá hoại hệ điều hành nào nhờ các toán tử hợp pháp của nó. Thông thường, một rootkit sẽ che giấu trình cài đặt và cố gắng ngăn chặn hệ thống bảo mật của máy tính xóa chúng. Rootkit có thể đi kèm những thay thế các file nhị phân hệ thống để người dùng không phát hiện ra sự có mặt của kẻ xâm nhập khi xem danh sách các tiến trình đang hoạt động.

10. B. Spoofing attack (tấn công giả mạo) hiện diễn ra rất phổ biến trên mạng. Trong kiểu tấn công này, một người hoặc một phần mềm sẽ bị giả mạo để làm sai lệch dữ liệu, từ đó giúp kẻ tấn công đạt được lợi thế bất hợp pháp nào đó. 3 quy tắc vàng để tránh bị tấn công giả mạo

Xem thêm:

Thứ Năm, 21/06/2018 14:43
53 👨 1.223
0 Bình luận
Sắp xếp theo