41 Pertanyaan wawancara keamanan aplikasi yang menarik

Pertanyaan wawancara keamanan aplikasi

Kami akan berdiskusi sekitar Pertanyaan wawancara keamanan aplikasi/Pertanyaan wawancara pengujian penetrasi yang terdiri dari daftar Sering Diajukan pertanyaan tentang keamanan dan juga tertutup Pertanyaan Wawancara Insinyur Keamanan serta pertanyaan wawancara keamanan cyber:

Pertanyaan wawancara Keamanan Aplikasi
Pertanyaan wawancara Keamanan Aplikasi

Kritis || Pertanyaan wawancara keamanan aplikasi

Mayor || Pertanyaan wawancara keamanan aplikasi

Dasar || Pertanyaan wawancara keamanan aplikasi

Tingkat Dasar -1 || Kritis || Pertanyaan wawancara keamanan aplikasi

Bagaimana program HTTP menangani status?

HTTP menjadi protokol tanpa negara menggunakan cookie untuk menangani status aplikasi web. HTTP dapat menangani status aplikasi web dalam pendekatan di bawah ini dan mengelola sesi:

  • Sisi klien
  • Sisi server.

Data mungkin disimpan dalam cookie atau dalam sesi server web.

Apa yang Anda pahami dengan Cross Site Scripting atau XSS?

Cross-site Scripting disingkat XSS adalah masalah injeksi kode sisi klien di mana pengguna yang tidak sah bertujuan untuk mengeksekusi skrip berbahaya di browser web pengguna dengan memasukkan kode berbahaya dalam aplikasi web dan karenanya begitu pengguna mengunjungi aplikasi web itu maka yang jahat kode dieksekusi sehingga cookie, token sesi, bersama dengan informasi sensitif lainnya disusupi.

Apa jenis XSS?

Ada tiga kategori utama XSS:

XSS Tercermin: Dalam pendekatan ini, skrip berbahaya tidak disimpan dalam database jika ada kerentanan ini; sebagai gantinya, ini berasal dari permintaan HTTP saat ini.

XSS tersimpan: Skrip yang mencurigakan disimpan di Database aplikasi web dan dapat dimulai dari sana dengan tindakan orang yang terkena dampak melalui beberapa cara seperti kolom komentar atau forum diskusi, dll.

DOM XSS: Dalam DOM (Model Objek Dokumen) XSS, potensi masalah ada dalam kode sisi klien alih-alih kode sisi server. Di sini, di tipe ini, skrip berbahaya mengalir di browser dan bertindak sebagai skrip sumber di DOM.

Dampak potensial ini muncul ketika kode sisi klien membaca data dari DOM dan memproses data ini tanpa memfilter input.

Apa saja 10 besar owasp tahun 2021?

  • Injeksi
  • Otentikasi Rusak
  • Eksposur Data Sensitif
  • Entitas Eksternal XML (XXE)
  • Kontrol Akses Rusak
  • Kesalahan Konfigurasi Keamanan
  • Skrip Lintas Situs (XSS)
  • Deserialisasi Tidak Aman
  • Komponen Menggunakan dengan Kerentanan yang Diketahui
  • Logging dan Pemantauan yang Tidak Memadai

Sebutkan metodologi pemeringkatan risiko owasp?

Metodologi peringkat risiko Owasp dipisahkan dalam lapisan yang berbeda, seperti:

  • Lapisan Identifikasi Risiko Sistem
  • Estimasi sumber dari mekanisme Risiko
  • Estimasi dan analisis dampak
  • Penentuan tingkat keparahan risiko.
  • Teknik mitigasi risiko.

Jelaskan bagaimana tracert atau tracerout beroperasi?

Tracerout atau tracert seperti namanya pada dasarnya memantau dan menganalisis rute antara mesin host ke mesin jarak jauh. itu melakukan kegiatan di bawah ini:

  • Memantau dan mengidentifikasi paket data yang diarahkan atau tidak.
  • Menganalisis kecepatan traversal paket data.
  • Menganalisis nomor Hops yang digunakan saat paket data traversal dari dan ke mesin host dan remote

Apa itu ICMP?

ICMP singkatan dari Internet Control Message Protocol, terletak di lapisan Jaringan model OSI, dan merupakan bagian integral dari TCP / IP.

Port mana untuk ICMP atau ping?

Ping tidak memerlukan port apa pun dan menggunakan ICMP. Ini digunakan untuk mengidentifikasi apakah host jarak jauh dalam status aktif atau tidak, dan juga mengidentifikasi kehilangan paket dan penundaan bolak-balik saat berada dalam komunikasi.

Sebutkan daftar tantangan untuk penerapan yang berhasil dan pemantauan deteksi intrusi web?

  • Batasan NIDS untuk pemantauan web, yaitu (masalah semantik saat memahami HTTP, SSL)
  • Tantangan saat mencatat verboseness logging (Mod_Security audit_log)
  • Pencatatan Jarak Jauh Terpusat
  • Mekanisme Peringatan
  • Sedangkan Signatures / Policy update

Sebutkan risiko terkait cookie HTTP yang tidak aman dengan token?

Dampak Pelanggaran Kontrol Akses dipicu saat tidak menandai cookie HTTP bersama dengan token aman.

Sebutkan desain dasar OWASP ESAPI?

Desain utama OWASP ESAPI adalah:

  • Grup antarmuka kontrol keamanan
  • Implementasi referensi untuk setiap kontrol keamanan.
  • Opsi untuk implementasi untuk setiap organisasi yang diterapkan ke setiap kontrol keamanan.

Apa itu pemindaian port?

Memindai port untuk menemukan bahwa mungkin ada beberapa titik lemah dalam sistem yang dapat ditargetkan oleh pengguna yang tidak berwenang dan menarik beberapa informasi data penting dan sensitif.

Sebutkan berbagai jenis pemindaian port?

  • Strobo: Pemindaian strobe pada dasarnya dilakukan pada layanan yang dikenal.
  • UDP: Di sini, dalam hal ini, pemindaian port UDP terbuka
  • Vanila: Dalam jenis pemindaian ini, pemindai memulai koneksi ke semua 65,535 port yang tersedia.
  • Menyapu: Dalam jenis pemindaian ini, pemindai memulai koneksi ke port yang sama pada beberapa mesin.
  • Paket terfragmentasi: Dalam jenis pemindaian ini, pemindai itu sendiri menangani pengiriman fragmen paket yang melewati filter paket sederhana di firewall.
  • Pemindaian siluman: Dalam jenis pendekatan pemindaian ini, pemindai memblokir mesin yang dipindai dari merekam aktivitas pemindaian port.
  • Pentalan FTP: Dalam jenis pemindaian ini, pemindai merutekan melalui server FTP untuk mengidentifikasi sumber pemindaian.

Apa itu honeypot?

Honeypot adalah sistem komputer yang meniru target kemungkinan masalah dunia maya. Honeypot pada dasarnya digunakan untuk mendeteksi dan membelokkan kerentanan dari target yang sah.

Di antara Windows dan Linux mana yang memberikan keamanan?

Kedua OS tersebut memiliki pro dan kontra. Namun, sesuai dengan keamanannya, sebagian besar komunitas lebih memilih menggunakan Linux karena memberikan lebih banyak fleksibilitas & keamanan dibandingkan dengan Windows, mengingat banyak peneliti keamanan telah berkontribusi untuk mengamankan Linux.

Protokol mana yang sebagian besar diimplementasikan pada halaman login?

Protokol TLS / SSL diimplementasikan di sebagian besar skenario saat data berada dalam lapisan transmisi. Hal ini dilakukan untuk mencapai kerahasiaan dan integritas data penting dan sensitif pengguna dengan menggunakan enkripsi di lapisan transmisi.

Apa itu kriptografi kunci publik?

Kriptografi Kunci Publik (PKC), juga dikenal sebagai kriptografi asimetris, adalah protokol kriptografi yang memerlukan dua set kunci terpisah, yaitu satu kunci privat dan satu lagi publik untuk enkripsi & dekripsi data.

Sebutkan perbedaan antara kriptografi kunci pribadi dan publik saat melakukan enkripsi dan penandatanganan konten?

Dalam kasus penandatanganan digital, pengirim menggunakan kunci privat untuk menandatangani data dan di sisi lain penerima memverifikasi dan memvalidasi data dengan kunci publik pengirim itu sendiri.

Saat di enkripsi, pengirim mengenkripsi data dengan kunci publik penerima dan penerima mendekripsi dan memvalidasinya menggunakan kunci pribadinya.

Sebutkan aplikasi utama dari kriptografi kunci publik?

Kasus penggunaan utama kriptografi kunci publik adalah:

  • Penandatanganan digital - Konten ditandatangani secara digital.
  • Enkripsi- Enkripsi konten dengan kunci publik.

Diskusikan tentang masalah Phishing?

Dalam Phishing, halaman web palsu diperkenalkan untuk mengelabui pengguna dan memanipulasinya untuk mengirimkan informasi penting dan sensitif.

Pendekatan apa yang dapat Anda lakukan untuk mempertahankan upaya phishing?

Verifikasi dan validasi kerentanan XSS dan header referer HTTP adalah beberapa pendekatan mitigasi terhadap phishing.

Bagaimana cara bertahan dari upaya login berulang kali?

Ada pendekatan berbeda untuk bertahan dari beberapa upaya login, seperti:

  • Pembuatan kebijakan penguncian akun berdasarkan beberapa percobaan dan percobaan untuk mengakses akun.
  • Penerapan fungsionalitas berbasis captcha pada halaman login untuk mengidentifikasi dan membedakan antara Manusia atau BOT.

Apa itu Pengujian Keamanan?

Pengujian keamanan adalah salah satu area pengujian penting utama untuk mengidentifikasi kemungkinan kerentanan dalam aplikasi berbasis perangkat lunak apa pun (sistem atau web atau jaringan atau Seluler atau perangkat lain) dan melindungi kumpulan data rahasia dan sensitif dari potensi risiko dan penyusup.

Apa itu "Kerentanan"?

Jawaban: Kerentanan dianggap sebagai kelemahan / bug / cacat dalam sistem apa pun di mana pengguna yang tidak berwenang dapat menargetkan sistem atau pengguna yang menggunakan aplikasi.

Apa itu Deteksi Intrusi?

Jawaban: IDS atau sistem deteksi intrusi adalah aplikasi perangkat lunak atau perangkat keras yang memantau jaringan untuk aktivitas yang tidak disetujui atau pelanggaran kebijakan. Dalam situasi ini biasanya dilaporkan dan diselesaikan menggunakan informasi keamanan dan sistem manajemen acara masing-masing.

Beberapa sistem Deteksi Intrusi cukup mampu untuk menanggapi gangguan yang terdeteksi saat ditemukan, yang dikenal sebagai sistem pencegahan intrusi (IPS).

Tingkat Dasar -2 || Mayor || Pertanyaan wawancara keamanan aplikasi

Apa itu Sistem Deteksi Intrusi, ketik:

Deteksi IDS sebagian besar dari jenis di bawah ini:

  • Sistem deteksi intrusi jaringan (NIDS): Sistem memonitor dan menganalisis lalu lintas jaringan yang masuk.
  • Sistem deteksi intrusi berbasis host (HIDS): Jenis sistem ini memantau file sistem operasi.

Bersamaan dengan ini, ada subset jenis IDS, yang varian utamanya didasarkan pada deteksi anomali dan deteksi tanda tangan.

  • Berbasis tanda tangan: Jenis sistem deteksi ini memantau dan mengidentifikasi potensi masalah dengan menganalisis pola spesifik seperti urutan byte lalu lintas jaringan, urutan aktivitas berbahaya yang diketahui.
  • Berbasis anomali: Model semacam ini didasarkan pada pendekatan pembelajaran mesin untuk mendeteksi dan beradaptasi dengan masalah yang tidak diketahui, terutama untuk membuat model kepercayaan algoritmik dan kemudian membandingkan perilaku berbahaya baru dengan model kepercayaan ini.

Apa yang Anda ketahui tentang OWASP?

OWASP dikenal sebagai Open Web Application Security Project adalah organisasi yang mendukung pengembangan perangkat lunak yang aman.

Masalah potensial apa yang muncul jika token sesi memiliki keacakan yang tidak memadai di seluruh nilai rentang?

Perusakan sesi muncul dari masalah token sesi yang memiliki keacakan yang tidak memadai dalam nilai rentang.

Apa itu "SQL Injection"?

Jawaban: Injeksi SQL adalah salah satu teknik paling umum di mana kode dimasukkan ke dalam pernyataan SQL melalui input halaman web yang dapat merusak database Anda dan berpotensi mengekspos semua data dari DB Anda.

Apa yang Anda pahami dengan sesi SSL dan juga koneksi SSL?

Jawaban: SSL dikenal sebagai koneksi Secure Socket Layer membangun komunikasi dengan link peer-to-peer yang memiliki kedua koneksi tersebut mempertahankan Sesi SSL.

Sesi SSL mewakili kontrak keamanan, yang terdiri dari informasi perjanjian kunci dan algoritme yang terjadi melalui koneksi antara klien SSL yang terhubung ke server SSL menggunakan SSL.

Sesi SSL diatur oleh protokol keamanan yang mengontrol negosiasi parameter sesi SSL antara klien SSL dan server SSL.

Sebutkan dua pendekatan standar yang digunakan untuk memberikan perlindungan ke file kata sandi?

Jawaban: Dua pendekatan utama yang diterapkan untuk perlindungan file kata sandi adalah

  • di-hash password
  • Nilai garam atau kontrol akses file sandi.

Apa itu IPSEC?

IPSEC yang juga dikenal sebagai keamanan IP adalah rangkaian protokol standar Internet Engineering Task Force (IETF) di antara dua lapisan komunikasi yang berbeda di seluruh jaringan IP. Ini memastikan integritas set data, otentikasi, dan juga kerahasiaan. Ini menghasilkan paket data yang diautentikasi dengan enkripsi, dekripsi.

Apa model OSI:

Model OSI juga dikenal sebagai Open Systems Interconnection, adalah model yang memungkinkan komunikasi menggunakan protokol standar dengan bantuan sistem komunikasi yang beragam. Organisasi Internasional untuk Standardisasi sedang membuatnya.

Apakah ISDN itu?

ISDN adalah singkatan dari Integrated Services Digital Network, sistem jaringan telepon circuit-switched. Ini menyediakan akses jaringan packet switched yang memungkinkan transmisi suara digital bersama dengan data. Melalui jaringan ini, kualitas data dan suara jauh lebih baik daripada perangkat / telepon analog.

Apa itu CHAP?

CHAP, juga disebut sebagai Challenge Handshake Authentication Protocol (CHAP) yang pada dasarnya adalah protokol otentikasi protokol P-2-P (PPP) di mana permulaan awal tautan digunakan. Selain itu, ia melakukan pemeriksaan kesehatan berkala dari router yang berkomunikasi dengan host. CHAP dikembangkan oleh IETF (Internet Engineering Task Force).

Apa itu USM, dan apa fungsinya?

USM adalah singkatan dari User-based Security Model, digunakan oleh System Management Agent untuk dekripsi, enkripsi, dekripsi, dan otentikasi juga untuk SNMPv3 paket.

Sebutkan beberapa faktor yang dapat menyebabkan kerentanan?

Jawaban: Mayoritas daerah yang berpotensi menimbulkan kerentanan adalah:

  • Paparan data sensitif: Jika ada data atau kata sandi sensitif yang terungkap atau dilacak oleh pengguna yang tidak berwenang, maka sistem menjadi rentan.
  • Cacat desain: Mungkin menargetkan kelemahan apa pun jika seandainya ada lubang loop dalam desain sistem.
  • Kompleksitas: Aplikasi kompleks dapat memiliki area yang rentan.
  • Kesalahan Manusia: Ini adalah salah satu sumber kerentanan keamanan karena banyak faktor seperti kebocoran data, dll.

Sebutkan daftar parameter untuk menentukan koneksi sesi SSL?

Jawaban: Atribut yang semuanya mendefinisikan koneksi sesi SSL adalah:

  • Server dan klien acak
  • Server menulis rahasia MAC
  • Klien menulis rahasia MAC
  • Kunci tulis server
  • Kunci tulis Klien
  • Vektor Inisialisasi
  • Nomor urutan

Apa itu pencacahan file?

Jawaban: Ini adalah jenis masalah di mana penjelajahan paksa terjadi dengan memanipulasi URL di mana pengguna yang tidak sah mengeksploitasi parameter URL dan mendapatkan data sensitif.

Apa keuntungan dari sistem deteksi intrusi?

Jawaban: Sistem deteksi intrusi memiliki keuntungan di bawah ini:

  • Deteksi Intrusi Jaringan (NIDS)
  • Sistem Deteksi Intrusi Node Jaringan (NNIDS)
  • Sistem Deteksi Intrusi Host (HIDS)

Tingkat Dasar -3 || Dasar || Pertanyaan wawancara keamanan aplikasi

Apa itu Sistem Deteksi Intrusi Host?

Sistem deteksi intrusi berbasis host (HIDS) (HIDS) adalah aplikasi yang beroperasi pada informasi yang dikumpulkan dari sistem komputer individu dan berfungsi pada sistem yang ada dan membandingkan dengan mirror / snapshot sistem sebelumnya dan memvalidasi apakah ada modifikasi atau manipulasi data. telah dilakukan dan menghasilkan peringatan berdasarkan output.

Itu juga dapat mengetahui proses dan pengguna mana yang terlibat dalam aktivitas berbahaya.

Apa itu NNIDS?

NNIDS adalah singkatan dari Network Node Intrusion Detection System (NNIDS), yang mirip dengan NIDS, tetapi hanya berlaku untuk satu host pada satu titik waktu, bukan seluruh subnet.

Sebutkan tiga penyusup kelas-kelas?

Ada berbagai jenis penyusup, seperti:

  • Masquerader: Jenis penyusup ini umumnya adalah individu yang tidak sah di komputer yang menargetkan kontrol akses sistem dan mendapatkan akses ke akun pengguna yang diautentikasi.
  • Misfeasor: Pengguna ini adalah pengguna terotentikasi yang memiliki kewenangan untuk menggunakan sumber daya sistem, tetapi dia bermaksud untuk menyalahgunakan akses yang sama ke sistem untuk operasi lain.
  • Klandestin: Dalam jenis pengguna ini, Ini dapat didefinisikan sebagai individu yang menargetkan sistem kontrol dengan cara melewati sistem keamanan sistem.

Sebutkan komponen yang digunakan dalam SSL?

SSL membuat koneksi aman antara klien dan server.

  • Komponen yang digunakan dalam SSL:
  • Protokol yang Direkam SSL
  • Protokol Jabat Tangan
  • Spesifikasi Cipher
  • Algoritme enkripsi

Penolakan: Ini Pertanyaan wawancara keamanan aplikasi posting tutorial untuk tujuan pendidikan saja. Kami tidak mempromosikan / mendukung aktivitas apa pun yang terkait dengan masalah / perilaku keamanan. Individu bertanggung jawab penuh atas segala tindakan ilegal jika ada.

Tentang Debarghya

Saya sendiri Debarghya Roy, saya seorang Engineering ARCHITECT yang bekerja dengan perusahaan fortune 5 dan kontributor open source, memiliki sekitar 12 tahun pengalaman / keahlian dalam berbagai tumpukan Teknologi.
Saya telah bekerja dengan berbagai teknologi seperti Java, C #, Python, Groovy, UI Automation (Selenium), Mobile Automation (Appium), API / Backend Automation, Performance Engineering (JMeter, Locust), Security Automation (MobSF, OwAsp, Kali Linux , Astra, ZAP dll), RPA, Otomasi Rekayasa Proses, Otomasi Mainframe, Pengembangan Back End dengan SpringBoot, Kafka, Redis, RabitMQ, ELK stack, GrayLog, Jenkins dan juga memiliki pengalaman dalam Cloud Technologies, DevOps dll.
Saya tinggal di Bangalore, India bersama istri saya dan memiliki hasrat terhadap Blogging, musik, bermain gitar dan Filosofi hidup saya adalah Pendidikan untuk Semua yang melahirkan LambdaGeeks. Mari terhubung melalui linked-in - https://www.linkedin.com/in/debarghya-roy/