14 parimat OWASP-i intervjuu küsimust ja vastust (2025)

Renee AleksanderByRenee Aleksander Tööaeg Viimati uuendatud

Siin on OWASP-i intervjuu küsimused ja vastused nii värsketele kui ka kogenud kandidaatidele oma unistuste töökoha saamiseks.

1) Mis on OWASP?

OWASP on lühend ingliskeelsest terminist Open Web Application Security Project. See on organisatsioon, mis toetab turvalist tarkvaraarendust.

2) Nimetage, milline viga tuleneb sellest, et seansimärgid on erinevates väärtusvahemikus halvasti juhuslikud?

Seansi kaaperdamine tuleneb seansi žetoonidest, mille juhuslikkus erinevates väärtustes on halb.

Tasuta PDF-i allalaadimine: OWASP-i intervjuu küsimused ja vastused

3) Mainige, mis juhtub, kui rakendus võtab kasutaja sisestatud andmed ja saadab need veebibrauserisse ilma nõuetekohase valideerimise ja põgenemiseta?

Saidiülene skriptimine toimub siis, kui rakendus võtab kasutaja sisestatud andmed ja saadab need veebibrauserisse ilma nõuetekohase valideerimise ja põgenemiseta.

Ära jäta:

4) Nimetage, millist ohtu saab vältida ainulaadsete kasutajanimede tootmisel suure entroopiaga?

Autoriseerimisest möödaviimist saab vältida ainulaadsete kasutajanimede genereerimisega suure entroopiaga.

5) Selgitage, mis on OWASP WebGoat ja WebScarab?

  • WebGoat: See on õpetlik tööriist rakenduste turvalisusega seotud õppimiseks, lähtealus turvatööriistade testimiseks teadaolevate probleemidega. See on a J2EE “Turvaõpetuse tundides” korraldatud veebirakendus, mis põhineb tomcatil ja JDK 1.5-l.
  • WebScarab: See on raamistik HTTP/HTTPS-liikluse analüüsimiseks. See täidab mitmesuguseid funktsioone, nagu fragmentide analüüs, serveri ja brauseri vahelise liikluse vaatlemine, käsitsi pealtkuulamine, seansi ID analüüs, uute URL-ide tuvastamine igal vaadatud lehel.
OWASP-i intervjuuküsimused
OWASP-i intervjuuküsimused

6) Loetlege OWASPi 10 parimat haavatavust

OWASP 10 parimat turvaviga hõlmavad

  • Süst
  • Saidiülene skriptimine
  • Katkestatud autentimine ja seansihaldus
  • Ebaturvaline krüptosalvestus
  • Piiramise suutmatus
  • Ebaturvaline side
  • Pahatahtliku faili täitmine
  • Ebaturvaline otseviide objektile
  • Suutmatus piirata juurdepääsu URL-ile
  • Teabe lekkimine ja vale vigade käsitlemine

7) Selgitage, milline oht tekib, kui te ei märgi tokenidega HTTP-küpsiseid turvaliseks?

Juurdepääsukontrolli rikkumise oht tuleneb sellest, et HTTP-küpsiseid ei märgita turvaliseks.

8) Nimetage ründetehnika, mis rakendab kasutaja seansi mandaadi või seansi ID selgesõnaliseks väärtuseks?

Sõnastiku rünnak võib sundida kasutaja seansi mandaadi või seansi ID selgesõnaliseks väärtuseks

OWASP
OWASP

9) Selgitage, mida OWASP Application Security Verification Standard (ASVS) projekt sisaldab?

OWASP-rakenduse turbekontrolli standardprojekt sisaldab

  • Kasutage mõõdikuna: See annab rakenduste omanikele ja rakenduste arendajatele mõõdupuu, mille abil analüüsida nende veebirakenduste usaldusväärsust
  • Kasutage juhendina: See annab turvakontrolli arendajatele teavet selle kohta, mida turbekontrollidesse lisada, et need vastaksid rakenduse turbenõuetele
  • Kasuta hanke ajal: See annab aluse rakenduste turvalisuse kontrollimise nõuete täpsustamiseks lepingutes

10) Loetlege kontrollid, mida hindamise ajal testida?

  • Informatsiooni kogumine
  • Seadistamise ja juurutamise haldustestimine
  • Tuvastage juhtimistestid
  • Autentige testimine
  • Autoriseerimise testimine
  • Seansihalduse testimine
  • Andmete valideerimise testimine
  • Viga tehnika
  • Krüptograafia
  • Äriloogika testimine
  • Kliendipoolne testimine

11) Selgitage, mis on passiivne režiim või OWASP-i turvalisuse testimise I etapp?

Turvalisuse testimise passiivne režiim ehk I etapp hõlmab rakenduse loogika mõistmist ja teabe kogumist sobivate tööriistade abil. Selle etapi lõpuks peaks testija mõistma kõiki rakenduse väravaid ehk pääsupunkte.

12) Märkige, milline on oht, millega olete kokku puutunud, kui te ei kontrolli kasutaja volitusi otseseks viitamiseks piiratud ressurssidele?

Kui te ei kontrolli kasutaja volitusi piiratud või piiratud ressurssidele viitamiseks otseste viidetega, võite olla ohus.

13) Selgitage, mis on OWASP ESAPI?

OWASP ESAPI (ettevõtte turvalisus API) on avatud lähtekoodiga veebirakenduste turvakontrolli teek, mis võimaldab arendajatel luua või kirjutada väiksema riskiga rakendusi.

14) Mainige, mis on OWASP ESAPI põhidisain?

OWASP ESAPI põhidisain sisaldab

  • Turvakontrolli liideste komplekt
  • Iga turvakontrolli jaoks on viiterakendus
  • Iga turvakontrolli jaoks on olemas võimalus oma organisatsiooni jaoks juurutamiseks

Need intervjuu küsimused aitavad ka teie viva (suuline)

Jaga

Teile võib meeldida:

Jäta vastus

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on märgitud *