Remi Lebret
Test por , creado hace más de 1 año

Securité dans les developpements

13
0
0
Remi Lebret
Creado por Remi Lebret hace alrededor de 8 años
Cerrar

Securité dans les developpements

Pregunta 1 de 17

1

Comment s'appelle la série de PowerPoint du CSP Proximité & Deco présentant les failles de sécurité de l'OWASP ?

Selecciona una de las siguientes respuestas posibles:

  • Dans ta... faille

  • Top 10 OWASP

  • Quel PowerPoint?

  • Les failles de sécurité pour les Nuls

  • Les petites annonces de Jean Philippe

Explicación

Pregunta 2 de 17

1

Quelles failles ont étaient présentées jusque maintenant?

Selecciona una o más de las siguientes respuestas posibles:

  • Authentification et Session

  • Référence directe à un objet

  • Mauvaises configurations

  • CSRF

  • ACL

Explicación

Pregunta 3 de 17

1

A quoi correspond la faille XSS ?

Selecciona una o más de las siguientes respuestas posibles:

  • Cross-site Scripting

  • Cross-Site Request Forgery

  • Access Control List

  • ExceSS

  • eXtra Small Security

Explicación

Pregunta 4 de 17

1

A quel type de faille l'attaque ci dessous correspond-t-elle?

https://monapplication.groupeadeo.com/login/username[$gt]=

Selecciona una o más de las siguientes respuestas posibles:

  • XSS

  • NoSQL

  • SQL

  • RATP

  • Référence directe a un objet

Explicación

Pregunta 5 de 17

1

A quel type de faille, l'attaque ci-dessous correspond-t-elle?

https://mabanque.com/compte/1000101010

Selecciona una o más de las siguientes respuestas posibles:

  • Référence directe a un objet

  • XSS

  • SNCF

  • NoSQL

  • SQL

Explicación

Pregunta 6 de 17

1

Quel code est le mieux prémuni contre les attaques SQL?

Selecciona una de las siguientes respuestas posibles:

  • String sql = “select * from product where cat=? and price > ?”;
    PreparedStatement pstmt = con.prepare(sql);
    pstmt.setString(1, ma_categrorie);
    pstmt.setString(2, mon_prix));

  • String sql = “select * from product where cat='" . ma_categrorie . "' and price > " . mon_prix; PreparedStatement pstmt = con.prepare(sql);

Explicación

Pregunta 7 de 17

1

Chez ADEO, quelle(s) solution(s) faut-il privilégier pour prémunir une applications des failles d'authentification ?

Selecciona una o más de las siguientes respuestas posibles:

  • Utiliser un service d'authentification ADEO (OAuth2, CAS,...)

  • Stocker les mots de passe avec un cryptage fort et un hashage

  • Stocker les mots de passe dans une base de donnée cryptée hébergé en Zone S

  • Utiliser un service d'authentification Tier (Facebook, Google,...)

Explicación

Pregunta 8 de 17

1

Qui est visé par les attaques XSS?

Selecciona una o más de las siguientes respuestas posibles:

  • Les données du serveur

  • L’hébergeur

  • Les utilisateurs du site

  • Le R.A.

  • Les logs applicatifs

Explicación

Pregunta 9 de 17

1

Sachant que "message_postee" contient une message saisie par un utilisateur, quel code gère le mieux les attaques XSS?

Selecciona una de las siguientes respuestas posibles:

  • <?php
    if ( typeof $message_postee !== "string" ){
    throw new Error("titre must be a string"); }
    ?>
    <html> ...
    <body>
    ...<?php echo $message_postee ?> ...
    </body>
    </html>

  • <html> ...
    <body>
    ... <?php echo htmlspecialchars($message_postee) ?> ...
    </body>
    </html>

Explicación

Pregunta 10 de 17

1

Qui est visé par les attaques SQL/NoSQL?

Selecciona una o más de las siguientes respuestas posibles:

  • Les données du serveur

  • L’hébergeur

  • L'utilisateur du site

  • Le R.A.

  • Les logs applicatifs

Explicación

Pregunta 11 de 17

1

Qui est visé par les attaques de session?

Selecciona una o más de las siguientes respuestas posibles:

  • Le serveur

  • L’hébergeur

  • L'utilisateur du site

  • Le R.A.

  • Les logs applicatifs

Explicación

Pregunta 12 de 17

1

De manière générale, comment prémunir mon application des failles de sécurité?

Selecciona una o más de las siguientes respuestas posibles:

  • Chaque développeur doit être sensibilisé aux failles de sécurité les plus courantes dans les applications

  • Tenir à jour la stack technique de l'application

  • Ne pas installer/utiliser/activer/... de composants/librairies/compte admin/.... inutiles

  • Industrialiser un maximum les applications

  • Interdire à Jj Goldman de développer

  • Ne pas mettre l'application en production

  • Toujours vérifier les droits d'accès du user qui consulte/crée/supprime une donné

  • En cas de doute, utiliser le joker "Appel à notre ami Jean Philippe"

Explicación

Pregunta 13 de 17

1

Qu'est-ce qu'une attaque par injection ?

Selecciona una o más de las siguientes respuestas posibles:

  • Anesthésier sa victime afin de lui dérober son matériel pour lui voler ses données

  • Ajouter du code dans des requêtes via des champs accessibles afin de contourner un blocage faible et récupérer de la donnée

  • Introduire un malware sur le serveur de la victime pour que l'attaquant reçoive automatiquement des données protégées.

  • Ajouter du code dans des pages HTML afin de récupérer des données utilisateurs

Explicación

Pregunta 14 de 17

1

Quel(s) est/sont le(s) meilleur(s) moyen(s) de protéger se protéger de la saisie d'utilisateurs mal intentionnés qui voudraient faire de l'injection?

Selecciona una o más de las siguientes respuestas posibles:

  • Contrôler que le type de la donnée (numérique par exemple) saisie soit cohérente avec ce que l'on s'attend à recevoir.

  • Ne pas afficher de champs

  • "Nettoyer" les données reçus des utilisateurs

  • Vérifier la cohérence de la donnée (un age est, à priori, entre 0 et 150 ans)

  • Afficher une couleur spécifique pour chaque type de champs

Explicación

Pregunta 15 de 17

1

Je suis un méchant pirate. J'arrive à accéder au réseau Adeo via un PC dont la session n'a pas été fermée. Une page younity est ouverte. Je poste un message dans lequel j'indique un lien. Le lien redirige vers une image qui en fait n'existe pas. Dans le lien, j'ai inséré un code pour récupérer un cookie de session.

Que suis-je en train de faire ?

Selecciona una o más de las siguientes respuestas posibles:

  • De l'injection SQL

  • De l'injection noSQL

  • Du hacking par Cross-site scripting

  • Du hacking par XSS

  • Préparer mon licenciement

Explicación

Pregunta 16 de 17

1

Si je fais passer des informations type login et mot de passe via un appel GET en HTTPS, qu'est-ce que je risque ?

Selecciona una o más de las siguientes respuestas posibles:

  • D'être victime de sniffing (un individu "écoute" le réseau via un software piratage)

  • Aucun risque, Chuck Norris s'occupe de ma sécurité

  • Le message est crypté donc le risque est très limité

Explicación

Pregunta 17 de 17

1

Est-ce que je me mets en risque si :

Selecciona una o más de las siguientes respuestas posibles:

  • Mon mot de passe est complexe et changé régulièrement

  • Je laisse le niveau de log à Debug en prod

  • J'utilise un mot de passe standard du CSP infra/prod

  • Dès qu'une mise à jour est possible, j'update mon framework ou mon système

  • Un service httpd me permet de lister l'arborescence de mon serveur de prod

  • Pour que mon script s'exécute, je fais un chmod 777

Explicación