Nangungunang 14 na Mga Tanong at Sagot sa Panayam sa OWASP (2025)

Renee AlexanderByRenee Alexander Oras Huling Na-update noong

Narito ang mga tanong at sagot sa panayam ng OWASP para sa mga fresher pati na rin sa mga may karanasang kandidato para makuha ang kanilang pangarap na trabaho.

1) Ano ang OWASP?

Ang OWASP ay nakatayo para sa Open Web Application Security Project. Ito ay isang organisasyon na sumusuporta sa secure na software development.

2) Banggitin kung anong kapintasan ang lumitaw mula sa mga token ng session na may mahinang randomness sa isang hanay ng mga halaga?

Ang pag-hijack ng session ay nagmumula sa mga token ng session na may mahinang randomness sa isang hanay ng mga halaga.

Libreng Pag-download ng PDF: Mga Tanong at Sagot sa Panayam ng OWASP

3) Banggitin kung ano ang mangyayari kapag ang isang application ay kumuha ng data na ipinasok ng user at ipinadala ito sa isang web browser nang walang wastong pagpapatunay at pagtakas?

Nangyayari ang cross-site scripting kapag ang isang application ay kumuha ng data na ipinasok ng user at ipinadala ito sa isang web browser nang walang wastong pagpapatunay at pagtakas.

Huwag Palampasin:

4) Banggitin kung anong banta ang maiiwasan sa pagkakaroon ng mga natatanging username na ginawa na may mataas na antas ng entropy?

Maaaring iwasan ang Authorization Bypass sa pamamagitan ng pagkakaroon ng mga natatanging username na nabuo na may mataas na antas ng entropy.

5) Ipaliwanag kung ano ang OWASP WebGoat at WebScarab?

  • WebGoat: Ito ay isang tool na pang-edukasyon para sa pag-aaral na may kaugnayan sa seguridad ng aplikasyon, isang baseline upang subukan ang mga tool sa seguridad laban sa mga kilalang isyu. Ito ay J2EE web application na nakaayos sa "Mga Aralin sa Seguridad" batay sa tomcat at JDK 1.5.
  • WebScarab: Ito ay isang balangkas para sa pagsusuri ng trapiko ng HTTP/HTTPS. Gumagawa ito ng iba't ibang mga function tulad ng fragment analysis, observer ang trapiko sa pagitan ng server at browser, manual intercept, session ID analysis, pagtukoy ng mga bagong URL sa loob ng bawat page na tiningnan.
Mga Tanong sa Panayam ng OWASP
Mga Tanong sa Panayam ng OWASP

6) Ilista ang Top 10 OWASP Vulnerabilities

Kasama sa OWASP top 10 security flaws

  • Iniksyon
  • Cross-site na scripting
  • Sirang Authentication at Pamamahala ng Session
  • Hindi secure na imbakan ng cryptographic
  • Pagkabigong paghigpitan
  • Mga hindi secure na komunikasyon
  • Nakakahamak na file execution
  • Hindi secure na direktang object reference
  • Pagkabigong paghigpitan ang pag-access sa url
  • Ang pagtagas ng impormasyon at hindi wastong paghawak ng error

7) Ipaliwanag kung anong banta ang dulot ng hindi pag-flag ng HTTP cookies na may mga token bilang secure?

Ang banta sa Paglabag sa Access Control ay nagmumula sa hindi pag-flag ng HTTP cookies na may mga token bilang secure.

8) Pangalanan ang diskarte sa pag-atake na nagpapatupad ng kredensyal ng session o session ID ng user sa isang tahasang halaga?

Maaaring puwersahin ng pag-atake sa diksyunaryo ang kredensyal ng session o session ID ng user sa isang tahasang halaga

OWASP
OWASP

9) Ipaliwanag kung ano ang kasama sa proyekto ng OWASP Application Security Verification Standard (ASVS)?

Kasama sa pamantayang proyekto sa pag-verify ng seguridad ng aplikasyon ng OWASP

  • Gamitin bilang sukatan: Nagbibigay ito sa mga may-ari ng application at mga developer ng application ng isang sukatan kung saan masusuri ang antas ng tiwala na maaaring ilagay sa kanilang mga web application
  • Gamitin bilang gabay: Nagbibigay ito ng impormasyon sa mga developer ng kontrol sa seguridad kung ano ang gagawin sa mga kontrol sa seguridad upang matugunan ang mga kinakailangan sa seguridad ng application
  • Gamitin sa panahon ng pagkuha: Nagbibigay ito ng batayan para sa pagtukoy ng mga kinakailangan sa pag-verify ng seguridad ng aplikasyon sa mga kontrata

10) Ilista ang mga kontrol na susuriin sa panahon ng pagtatasa?

  • Impormasyon sa pagtitipon
  • Pagsubok sa pamamahala ng Configuration at Deploy
  • Kilalanin ang pagsubok sa Pamamahala
  • Authenticate na Pagsubok
  • Pagsusuri sa Awtorisasyon
  • Pagsubok sa Pamamahala ng Sesyon
  • Pagsusuri sa Pagpapatunay ng Data
  • Maling paghawak
  • Cryptography
  • Pagsubok sa lohika ng negosyo
  • Pagsubok sa panig ng kliyente

11) Ipaliwanag kung ano ang passive mode o phase I ng pagsubok sa seguridad sa OWASP?

Kasama sa passive mode o phase I ng pagsubok sa seguridad ang pag-unawa sa lohika ng application at pangangalap ng impormasyon gamit ang mga naaangkop na tool. Sa pagtatapos ng yugtong ito, dapat na maunawaan ng tester ang lahat ng gate o access point ng application.

12) Banggitin kung ano ang banta na nalantad sa iyo kung hindi mo ibe-verify ang pahintulot ng user para sa mga direktang pagtukoy sa mga pinaghihigpitang mapagkukunan?

Nalantad ka sa banta para sa mga hindi secure na direktang object reference, kung hindi mo ibe-verify ang pahintulot ng user para sa mga direktang reference sa limitado o pinaghihigpitang mga mapagkukunan.

13) Ipaliwanag kung ano ang OWASP ESAPI?

OWASP ESAPI (Enterprise Security API) ay isang open source na web application security control library na nagbibigay-daan sa mga developer na bumuo o sumulat ng mga application na mas mababa ang panganib.

14) Banggitin kung ano ang pangunahing disenyo ng OWASP ESAPI?

Kasama sa pangunahing disenyo ng OWASP ESAPI

  • Isang hanay ng mga interface ng kontrol sa seguridad
  • Para sa bawat kontrol sa seguridad mayroong isang reference na pagpapatupad
  • Para sa bawat kontrol sa seguridad, mayroong opsyon para sa pagpapatupad para sa sarili mong organisasyon

Ang mga tanong sa panayam na ito ay makakatulong din sa iyong viva(orals)

magbahagi

Maaari mong magustuhan:

Mag-iwan ng Sagot

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan *