14 parimat OWASP-i intervjuu küsimust ja vastust (2025)
Siin on OWASP-i intervjuu küsimused ja vastused nii värsketele kui ka kogenud kandidaatidele oma unistuste töökoha saamiseks.
1) Mis on OWASP?
OWASP on lühend ingliskeelsest terminist Open Web Application Security Project. See on organisatsioon, mis toetab turvalist tarkvaraarendust.
2) Nimetage, milline viga tuleneb sellest, et seansimärgid on erinevates väärtusvahemikus halvasti juhuslikud?
Seansi kaaperdamine tuleneb seansi žetoonidest, mille juhuslikkus erinevates väärtustes on halb.
Tasuta PDF-i allalaadimine: OWASP-i intervjuu küsimused ja vastused
3) Mainige, mis juhtub, kui rakendus võtab kasutaja sisestatud andmed ja saadab need veebibrauserisse ilma nõuetekohase valideerimise ja põgenemiseta?
Saidiülene skriptimine toimub siis, kui rakendus võtab kasutaja sisestatud andmed ja saadab need veebibrauserisse ilma nõuetekohase valideerimise ja põgenemiseta.
4) Nimetage, millist ohtu saab vältida ainulaadsete kasutajanimede tootmisel suure entroopiaga?
Autoriseerimisest möödaviimist saab vältida ainulaadsete kasutajanimede genereerimisega suure entroopiaga.
5) Selgitage, mis on OWASP WebGoat ja WebScarab?
- WebGoat: See on õpetlik tööriist rakenduste turvalisusega seotud õppimiseks, lähtealus turvatööriistade testimiseks teadaolevate probleemidega. See on a J2EE “Turvaõpetuse tundides” korraldatud veebirakendus, mis põhineb tomcatil ja JDK 1.5-l.
- WebScarab: See on raamistik HTTP/HTTPS-liikluse analüüsimiseks. See täidab mitmesuguseid funktsioone, nagu fragmentide analüüs, serveri ja brauseri vahelise liikluse vaatlemine, käsitsi pealtkuulamine, seansi ID analüüs, uute URL-ide tuvastamine igal vaadatud lehel.
6) Loetlege OWASPi 10 parimat haavatavust
OWASP 10 parimat turvaviga hõlmavad
- Süst
- Saidiülene skriptimine
- Katkestatud autentimine ja seansihaldus
- Ebaturvaline krüptosalvestus
- Piiramise suutmatus
- Ebaturvaline side
- Pahatahtliku faili täitmine
- Ebaturvaline otseviide objektile
- Suutmatus piirata juurdepääsu URL-ile
- Teabe lekkimine ja vale vigade käsitlemine
7) Selgitage, milline oht tekib, kui te ei märgi tokenidega HTTP-küpsiseid turvaliseks?
Juurdepääsukontrolli rikkumise oht tuleneb sellest, et HTTP-küpsiseid ei märgita turvaliseks.
8) Nimetage ründetehnika, mis rakendab kasutaja seansi mandaadi või seansi ID selgesõnaliseks väärtuseks?
Sõnastiku rünnak võib sundida kasutaja seansi mandaadi või seansi ID selgesõnaliseks väärtuseks
9) Selgitage, mida OWASP Application Security Verification Standard (ASVS) projekt sisaldab?
OWASP-rakenduse turbekontrolli standardprojekt sisaldab
- Kasutage mõõdikuna: See annab rakenduste omanikele ja rakenduste arendajatele mõõdupuu, mille abil analüüsida nende veebirakenduste usaldusväärsust
- Kasutage juhendina: See annab turvakontrolli arendajatele teavet selle kohta, mida turbekontrollidesse lisada, et need vastaksid rakenduse turbenõuetele
- Kasuta hanke ajal: See annab aluse rakenduste turvalisuse kontrollimise nõuete täpsustamiseks lepingutes
10) Loetlege kontrollid, mida hindamise ajal testida?
- Informatsiooni kogumine
- Seadistamise ja juurutamise haldustestimine
- Tuvastage juhtimistestid
- Autentige testimine
- Autoriseerimise testimine
- Seansihalduse testimine
- Andmete valideerimise testimine
- Viga tehnika
- Krüptograafia
- Äriloogika testimine
- Kliendipoolne testimine
11) Selgitage, mis on passiivne režiim või OWASP-i turvalisuse testimise I etapp?
Turvalisuse testimise passiivne režiim ehk I etapp hõlmab rakenduse loogika mõistmist ja teabe kogumist sobivate tööriistade abil. Selle etapi lõpuks peaks testija mõistma kõiki rakenduse väravaid ehk pääsupunkte.
12) Märkige, milline on oht, millega olete kokku puutunud, kui te ei kontrolli kasutaja volitusi otseseks viitamiseks piiratud ressurssidele?
Kui te ei kontrolli kasutaja volitusi piiratud või piiratud ressurssidele viitamiseks otseste viidetega, võite olla ohus.
13) Selgitage, mis on OWASP ESAPI?
OWASP ESAPI (ettevõtte turvalisus API) on avatud lähtekoodiga veebirakenduste turvakontrolli teek, mis võimaldab arendajatel luua või kirjutada väiksema riskiga rakendusi.
14) Mainige, mis on OWASP ESAPI põhidisain?
OWASP ESAPI põhidisain sisaldab
- Turvakontrolli liideste komplekt
- Iga turvakontrolli jaoks on viiterakendus
- Iga turvakontrolli jaoks on olemas võimalus oma organisatsiooni jaoks juurutamiseks
Need intervjuu küsimused aitavad ka teie viva (suuline)