41 أسئلة مثيرة للاهتمام حول مقابلة أمان التطبيق

أسئلة المقابلة الأمنية للتطبيق

سنناقش حولها أسئلة المقابلة الأمنية للتطبيق/أسئلة مقابلة اختبار الاختراق والتي تتكون من قائمة الأكثر شيوعًا أسئلة حول الأمن وغطت أيضا أسئلة مقابلة مهندس الأمن و أسئلة مقابلة الأمن السيبراني:

حرجة || أسئلة المقابلة الأمنية للتطبيق

الرائد || أسئلة المقابلة الأمنية للتطبيق

أساسي || أسئلة المقابلة الأمنية للتطبيق

أسئلة مقابلة أمن التطبيق
أسئلة مقابلة أمان التطبيق

المستوى الأساسي -1 || حرجة || أسئلة المقابلة الأمنية للتطبيق

كيف سيتعامل برنامج HTTP مع الحالة؟

يستخدم HTTP بروتوكولًا عديم الحالة ملفات تعريف الارتباط للتعامل مع حالة تطبيق الويب ، ويمكن لـ HTTP التعامل مع حالة تطبيق الويب في الأساليب أدناه والحفاظ على الجلسة:

قد يتم تخزين البيانات في ملفات تعريف الارتباط أو في جلسة خادم الويب.

ماذا تفهم بواسطة Cross Site Scripting أو XSS؟

يتم اختصار البرمجة النصية عبر المواقع لأن XSS عبارة عن مشكلة إدخال رمز من جانب العميل حيث يهدف المستخدم غير المصرح له إلى تنفيذ نصوص ضارة في متصفح الويب الخاص بالمستخدم من خلال دمج تعليمات برمجية ضارة في تطبيق ويب ، وبالتالي بمجرد زيارة المستخدم لتطبيق الويب هذا ثم البرنامج الضار يتم تنفيذ التعليمات البرمجية مما يؤدي إلى اختراق ملفات تعريف الارتباط ورموز الجلسة إلى جانب المعلومات الحساسة الأخرى.

ما هي أنواع XSS؟

هناك ثلاث فئات مختلفة من XSS:

انعكاس XSS: في هذا النهج ، لا يتم تخزين البرنامج النصي الضار في قاعدة البيانات في حالة وجود هذه الثغرة الأمنية ؛ بدلاً من ذلك ، يأتي من طلب HTTP الحالي.

XSS مُخزَّن: يتم تخزين البرامج النصية المشبوهة في قاعدة بيانات تطبيق الويب ويمكن البدء من هناك من خلال إجراء الشخص المتأثر بعدة طرق مثل حقل التعليق أو منتديات المناقشة ، إلخ.

DOM XSS: في DOM (نموذج كائن المستند) XSS ، توجد المشكلات المحتملة داخل التعليمات البرمجية من جانب العميل بدلاً من التعليمات البرمجية من جانب الخادم. هنا في هذا النوع ، يتدفق البرنامج النصي الضار في المتصفح ويعمل كبرنامج نصي مصدر في DOM.

ينشأ هذا التأثير المحتمل عندما يقرأ رمز من جانب العميل البيانات من DOM ويعالج هذه البيانات دون تصفية المدخلات.

ما هي owasp توب 10 لعام 2021؟

أذكر منهجية تصنيف مخاطر owasp؟

يتم فصل منهجيات تصنيف مخاطر Owasp في طبقات مختلفة ، مثل:

اشرح كيف تعمل tracert أو tracerout؟

Tracerout أو tracert كما يوحي الاسم يراقب ويحلل المسار بين الجهاز المضيف والآلة البعيدة. تقوم بالأنشطة التالية:

ما هي اللجنة الدولية لشؤون المفقودين؟

ICMP يرمز إلى بروتوكول رسائل التحكم في الإنترنت ، الموجود في طبقة الشبكة لنموذج OSI ، وهو جزء لا يتجزأ من TCP / IP.

ما هو المنفذ المخصص لـ ICMP أو ping؟

لا يتطلب Ping أي منفذ ويستخدم ICMP. يتم استخدامه لتحديد ما إذا كان المضيف البعيد في حالة نشطة أم لا ، كما أنه يحدد فقدان الحزمة وتأخير رحلة الذهاب والإياب أثناء الاتصال.

أذكر قائمة التحديات للنشر الناجح ورصد اكتشاف اختراق الويب؟

أذكر المخاطر التي تنطوي عليها ملفات تعريف ارتباط HTTP غير الآمنة ذات الرموز المميزة؟

يتم تشغيل تأثير انتهاك التحكم في الوصول عند عدم وضع علامة على ملفات تعريف ارتباط HTTP مع الرموز المميزة الآمنة.

أذكر التصميم الأساسي لـ OWASP ESAPI؟

تصميم OWASP ESAPI الرئيسي هو:

ما هو فحص المنفذ؟

فحص المنافذ لاكتشاف أنه يمكن أن تكون هناك بعض نقاط الضعف في النظام التي يمكن للمستخدم غير المصرح له استهداف وسحب بعض معلومات البيانات الهامة والحساسة إليها.

أذكر الأنواع المختلفة من عمليات فحص الموانئ؟

ما هو موضع الجذب؟

موضع الجذب هو نظام كمبيوتر يحاكي الأهداف المحتملة للقضايا السيبرانية. يستخدم Honeypot أساسًا للكشف عن الثغرات الأمنية وانحرافها عن هدف شرعي.

بين نظامي التشغيل Windows و Linux ، أيهما يوفر الأمان؟

كل من نظام التشغيل لهما إيجابيات وسلبيات. ومع ذلك ، وفقًا للأمان ، يفضل معظم المجتمع استخدام Linux لأنه يوفر مزيدًا من المرونة والأمان مقارنةً بنظام Windows ، مع الأخذ في الاعتبار أن العديد من الباحثين الأمنيين قد ساهموا في تأمين Linux.

ما هو البروتوكول المطبق في الغالب على صفحة تسجيل الدخول؟

يتم تنفيذ بروتوكول TLS / SSL في معظم السيناريوهات أثناء وجود البيانات في طبقات الإرسال ، ويتم ذلك لتحقيق سرية وسلامة بيانات المستخدم الحساسة والحرجة باستخدام التشفير في طبقة الإرسال.

ما هو تشفير المفتاح العام؟

تشفير المفتاح العام (PKC) ، المعروف أيضًا باسم التشفير غير المتماثل ، هو بروتوكول تشفير يتطلب مجموعتين منفصلتين من المفاتيح ، أحدهما خاص والآخر عام لتشفير البيانات وفك تشفيرها.

اذكر الفرق بين التشفير بالمفتاح الخاص والعمومي أثناء إجراء التشفير وتوقيع المحتوى؟

في حالة التوقيع الرقمي ، يستخدم المرسل المفتاح الخاص لتوقيع البيانات ومن ناحية أخرى يتحقق المتلقي من البيانات ويتحقق من صحتها باستخدام المفتاح العام للمرسل نفسه.

أثناء التشفير ، يقوم المرسل بتشفير البيانات باستخدام المفتاح العام الخاص بالمستقبل وفك تشفير المتلقي والتحقق من صحتها باستخدام مفتاحه الخاص.

أذكر التطبيق الرئيسي لتشفير المفتاح العام؟

حالات الاستخدام الرئيسية لتشفير المفتاح العام هي:

مناقشة حول قضايا التصيد؟

في التصيد الاحتيالي ، يتم تقديم صفحة الويب المزيفة لخداع المستخدم والتلاعب به لإرسال معلومات مهمة وحساسة.

ما هو النهج الذي يمكنك اتباعه للدفاع عن محاولات التصيد الاحتيالي؟

يعد التحقق من ثغرات XSS والتحقق من صحتها ورأس مرجع HTTP بعض أساليب التخفيف ضد التصيد الاحتيالي.

كيف تدافع ضد محاولات تسجيل الدخول المتعددة؟

هناك طرق مختلفة للدفاع ضد محاولات تسجيل الدخول المتعددة ، مثل:

ما هو اختبار الأمان؟

يعد اختبار الأمان أحد المجالات المهمة الرئيسية للاختبار لتحديد نقاط الضعف المحتملة في أي برنامج (أي نظام أو ويب أو شبكة أو هاتف محمول أو أي تطبيق آخر) وحماية مجموعات البيانات السرية والحساسة من المخاطر المحتملة والمتطفلين.

ما هو "الضعف"؟

الإجابة: تعتبر الثغرة بمثابة ضعف / خطأ / خلل في أي نظام يمكن من خلاله لمستخدم غير مصرح له استهداف النظام أو المستخدم الذي يستخدم التطبيق.

ما هو كشف التسلل؟

الإجابة: نظام كشف التسلل أو نظام كشف التسلل هو برنامج أو تطبيق للأجهزة يراقب الشبكة بحثًا عن نشاط غير معتمد أو انتهاكات للسياسة. في ظل هذه المواقف ، يتم الإبلاغ عنها وحلها عادةً باستخدام المعلومات الأمنية ونظام إدارة الأحداث ذات الصلة.

قليل من أنظمة كشف التطفل قادرة بشكل كافٍ على الاستجابة للتطفل المكتشف عند الاكتشاف ، والمعروف باسم أنظمة منع التطفل (IPS).

المستوى الأساسي -2 || الرائد || أسئلة المقابلة الأمنية للتطبيق

ما هو نظام كشف التسلل من النوع:

كشف IDS بشكل رئيسي من الأنواع التالية:

إلى جانب هذه ، هناك مجموعة فرعية من أنواع أنظمة كشف التسلل ، تعتمد المتغيرات الرئيسية منها على اكتشاف الشذوذ واكتشاف التوقيع

ماذا تعرف عن أواسب؟

تُعرف OWASP باسم Open Web Application Security Project وهي منظمة تدعم تطوير البرامج الآمنة.

ما هي المشكلات المحتملة التي تنشأ إذا كانت الرموز المميزة للجلسة بها عشوائية غير كافية عبر قيم النطاق؟

ينشأ التلاعب بالجلسة من مشكلة الرموز المميزة للجلسة التي لا تحتوي على عشوائية كافية ضمن قيم النطاق.

ما هو "حقن SQL"؟

الإجابة: يعد إدخال SQL أحد الأساليب الأكثر شيوعًا التي يتم فيها إدخال رمز في عبارات SQL عبر إدخال صفحة ويب قد يؤدي إلى تدمير قاعدة بياناتك وربما يعرض جميع البيانات من قاعدة البيانات الخاصة بك.

ماذا تفهم من جلسة SSL وكذلك اتصالات SSL؟

الإجابة: يُعرف بروتوكول طبقة المقابس الآمنة (SSL) باسم اتصال طبقة المقابس الآمنة ، وهو ينشئ الاتصال مع ارتباط نظير إلى نظير حيث يحافظ كلا الاتصال على جلسة SSL.

تمثل جلسة SSL عقد الأمان ، والذي يتكون من معلومات اتفاقية المفتاح والخوارزمية التي تحدث عبر اتصال بين عميل SSL متصل بخادم SSL باستخدام SSL.

تخضع جلسة SSL لبروتوكولات الأمان التي تتحكم في مفاوضات معلمة جلسات SSL بين عميل SSL وخادم SSL.

قم بتسمية النهجين المعياريين اللذين يتم استخدامهما لتوفير الحماية لملف كلمة المرور؟

الإجابة: هناك طريقتان مطبقتان بشكل رئيسي لحماية ملف كلمة المرور

ما هو IPSEC؟

IPSEC المعروف أيضًا باسم أمان IP هو مجموعة بروتوكولات قياسية لفريق عمل هندسة الإنترنت (IETF) بين طبقات الاتصال المختلفة عبر شبكة IP. يضمن سلامة مجموعة البيانات والمصادقة وكذلك السرية. يقوم بإنشاء حزم البيانات المصدق عليها مع التشفير وفك التشفير.

ما هو نموذج OSI:

يُعرف نموذج OSI أيضًا باسم Open Systems Interconnection ، وهو نموذج يتيح الاتصال باستخدام البروتوكولات القياسية بمساعدة أنظمة الاتصال المتنوعة. المنظمة الدولية للتوحيد القياسي هي من إنشائها.

ما هو ISDN؟

ISDN تعني الشبكة الرقمية للخدمات المتكاملة ، وهي عبارة عن نظام شبكة هاتف بتبديل الدارات. يوفر الوصول إلى شبكات تبديل الحزمة التي تسمح بالنقل الرقمي للصوت إلى جانب البيانات. عبر هذه الشبكة ، تكون جودة البيانات والصوت أفضل بكثير من الجهاز / الهاتف التناظري.

ما هو CHAP؟

CHAP ، يُشار إليه أيضًا باسم بروتوكول مصادقة تعارف التحدي (CHAP) وهو في الأساس بروتوكول مصادقة بروتوكول P-2-P (PPP) حيث يتم استخدام بدء التشغيل الأولي للارتباط. كما أنه يجري فحصًا دوريًا لصحة جهاز التوجيه الذي يتواصل مع المضيف. تم تطوير CHAP بواسطة IETF (فريق مهام هندسة الإنترنت).

ما هو USM وماذا يؤدي؟

USM تعني نموذج الأمان المستند إلى المستخدم ، ويستخدمه وكيل إدارة النظام لفك التشفير ، التشفير, فك التشفير والمصادقة وكذلك ل SNMPv3 الحزم.

اذكر بعض العوامل التي يمكن أن تسبب نقاط الضعف؟

الجواب: غالبية المناطق التي قد تسبب نقاط الضعف المحتملة هي:

أذكر قائمة المعلمات لتحديد اتصال جلسة SSL؟

الإجابة: السمات التي تحدد جميعها اتصال جلسة SSL هي:

ما هو ملف التعداد؟

الإجابة: إنه نوع من المشكلات حيث يحدث التصفح القوي عن طريق معالجة عنوان URL حيث يستغل المستخدم غير المصرح له معلمات URL ويحصل على بيانات حساسة.

ما هي مزايا نظام كشف التسلل؟

الجواب: يتميز نظام كشف التطفل بالمزايا التالية:

المستوى الأساسي -3 || أساسي || أسئلة المقابلة الأمنية للتطبيق

ما هو نظام كشف التسلل المضيف؟

أنظمة كشف التسلل (HIDSs) المستندة إلى المضيف (HIDSs) هي تطبيقات تعمل على المعلومات التي تم جمعها من أنظمة الكمبيوتر الفردية وتعمل على النظام الحالي والمقارنة مع النسخ المتطابقة / لقطة النظام السابقة والتحقق مما إذا كان هناك أي تعديل أو معالجة للبيانات تم القيام به ويقوم بإنشاء تنبيه بناءً على المخرجات.

يمكنه أيضًا معرفة العمليات والمستخدمين المتورطين في الأنشطة الضارة.

ما هو NNIDS؟

يرمز NNIDS إلى نظام اكتشاف اختراق عقدة الشبكة (NNIDS) ، والذي يشبه NIDS ، ولكنه ينطبق فقط على مضيف واحد في وقت واحد ، وليس شبكة فرعية كاملة.

أذكر ثلاثة متسللين فصول?

هناك أنواع مختلفة من المتسللين ، مثل:

أذكر المكونات المستخدمة في SSL؟

يؤسس SSL الاتصالات الآمنة بين العملاء والخوادم.

تنصل: هذه أسئلة المقابلة الأمنية للتطبيق آخر تعليمي هو الغرض التعليمي فقط. نحن لا نشجع / ندعم أي نشاط يتعلق بقضايا / سلوكيات أمنية. الفرد هو المسؤول الوحيد عن أي عمل غير قانوني إن وجد.

انتقل إلى الأعلى