Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
BGA STAJ OKULU
SINAV SORULARI
2018
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA STAJ OKULU 2018 SINAV S...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 5: Aşağıdakilerden han...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 10: Samet, kullanıcı t...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 14: Tüm uygulamaların ...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 18: Web uygulamasında ...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 23: Cross Site Scriptt...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 26: Aşağıdaki kod bloğ...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 28: Sistem yöneticisi ...
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA Bilgi Güvenliği A.Ş. Ha...
Prochain SlideShare
Chargement dans…5
×

BGA Staj Okulu Sınav Soruları 2018

2 468 vues

Publié le

BGA Staj Okulu Sınav Soruları 2018 @BGASecurity

Publié dans : Technologie
  • Soyez le premier à commenter

BGA Staj Okulu Sınav Soruları 2018

  1. 1. BGA STAJ OKULU SINAV SORULARI 2018
  2. 2. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA STAJ OKULU 2018 SINAV SORULARI Soru 1: Bir Linux web sunucusunda aşağıdaki komut ile ne yapılmak, nereye varılmak istenmektedir? cat access.log | grep -E “%27|--|union|select|from|or|@|version|char|varchar|exec a) Veritabanı sorguları tek tek çalıştırılmaktadır. b) Bir database(veritabanı) içerisinde arama işlemi yapılmak istenmektedir. c) SQL Injection saldırıları tespit edilmek istenmektedir. d) Cross-site scripting saldırıları tespit edilmek istenmektedir. Soru 2: Linux sisteme bir saldırganın sızdıktan sonra; yaptığınız incelemede, “.bash_history” dosyası içeriğinde aşağıdaki komutun çalıştırıldığı görülmektedir. $ find / -user root -perm -4000 -exec ls -ldb {} ; >/tmp/files Saldırganın bu komutu kullanmaki amacı nedir? a) Root haklarıyla dosya çalıştırmak b) Root’a ait dosyaları bulmak. c) Setuid izinlerine sahip dosyaları bulmak. d) /tmp altındaki dosya izinlerini değiştirmek Soru 3: Aşağıdakilerden hangisi çerezlerde saklanmalıdır? a) Oturum kimliği (Session ID) b) Hesap Ayrıcalıkları (Account Privileges) c) Kullanıcı adı d) Parola Soru 4: NSA, neden Edward Snowden'ın tüm belgeleri çalmadan ve sızdırmadan önce bir güvenlik riski olduğunu anlayamamıştır? ....................................................................................................................................................
  3. 3. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 5: Aşağıdakilerden hangisi ikinci nesil programlama dilleri olarak kabul edilir? a) Assembly b) Machine c) Very high-level d) High-level Soru 6: “Whitelist” veri doğrulama ne demektir? a) Veri geçerli olduğu bilinen bir değerler listesine göre doğrulanır. b) Veriler geçersiz olduğu bilinen bir değerler listesine göre doğrulanır. c) Yukarıdakilerin ikisi de d) Yukarıdakilerin hiçbiri Soru 7: Buffer Overflow, Cross Site Scripting (XSS), SQL Injection gibi saldırılarının ortak noktası nedir? a) Kimlik doğrulama eksikliği b) Beklenmeyen hata mesajı oluşması c) Onaylanmamış girdi d) Hatalı konfigürasyon yönetimi Soru 8: Parola hashlerini kırmaya yönelik sözlük saldırılarına (dictionary attack) karşı nasıl bir önlem alınır? a) Parolayı iki kez hash algoritmasından geçirerek b) Parolanın encrypt edilmesiyle c) Kimsenin bilmediği kişisel bir şifreleme algoritması kullanarak d) Hash Salting (Hash Tuzlama) yöntemi kullanarak Soru 9: Web sunucusu bir GET isteğinin hangi bölümünü kaydeder? a) Hidden tags b) Query Strings c) Header d) Cookies
  4. 4. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 10: Samet, kullanıcı tarafındaki (client-side) orijinal Javascript kodu değiştirerek, kullanıcı bilgilerini çalmak için zararlı bir kod oluşturmuştur. Samet bu işlem için ne tür bir XSS güvenlik açığı kullanmaktadır. a) DOM-based b) Second order c) Persisten d) Nonpersistent Soru 11: Aşağıdaki antivirüs algılama yöntemlerinden hangisi uygulama işletim sistemi üzerinde çalışırken zararlı kodları izler ve en yeni teknolojileri kullanır? a) Davranış engelleme (Behavior) b) Parmak izi algılama (Fingerprint) c) İmza tabanlı tespit (Signature-based) d) Sezgisel algılama (Heuristic) Soru 12: SOAP (Simple Object Access Protocol) ve RPC (Remote Call Procedure) hakkında aşağıda verilen tanımlamalardan hangisi veya hangileri yanlıştır? a) SOAP, RPC ile ilgili uyumluluk ve güvenlik sorunlarının üstesinden gelmek için tasarlanmıştır. b) Uygulama katmanı iletişimini sağlamak için SOAP ve RPC oluşturuldu. c) SOAP, İnternet üzerinden uygulamalar arasında bilgi alışverişi için RPC'nin kullanılmasını sağlar. d) HTTP, RPC ile çalışmak üzere tasarlanmamıştır, ancak SOAP, HTTP ile çalışmak üzere tasarlanmıştır. Soru 13: Uygar, ağ trafiğini dinliyor ve kimlik doğrulama sunucusuna gönderilen parolaları yakalıyor. Uygar buradan elde ettiği parolaları gelecekteki bir saldırının parçası olarak kullanmayı planlıyor ise bu ne tür bir saldırıdır? a) Brute-force b) Dictionary attack c) Social engineering d) Replay attack
  5. 5. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 14: Tüm uygulamaların aynı güvenlik kurallarını izlediğinden emin olmak için uygulama güvenliği politikalarının paylaşılmasına hangi etiketleme dili (markup language) izin verir? a) XML b) GML c) XACML d) SPML Soru 15: Birkaç çeşit IDS (Intrusion Detection System) vardır. Hangi tip IDS bir ortamın normal aktivitelerinin profilini oluşturur ve profile göre paketlere bir anormal skor atar? a) Protokol imza tabanlı b) İstatistiksel anomali tabanlı c) Durum tabanlı d) Yanlış algılama sistemi Soru 16: Aşağıdakilerden hangisi kural tabanlı bir IDS'in (Intrusion Detection System) özelliğidir? a) Gelişmiş sistemler ile IF / THEN programlama kullanır. b) Ortak sınırlarının dışında kullanılan protokolleri tanımlar. c) Paternleri çeşitli aktivitelerle karşılaştırır. d) Yeni saldırıları tespit edebilir. Soru 17: Web uygulamasında giriş doğrulamasında ……..….................... baz alınmalıdır. Boşluğa gelecek uygun kelime hangisidir? a) Whitelist b) Blacklist c) Whitebox d) Blackbox
  6. 6. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 18: Web uygulamasında Cookie’nin Secure özelliği tanımlanmış ise aşağıdakilerden hangisi veya hangileri doğrudur? a) Cookie, Javascript tarafından erişilemez. b) Cookie, domainler arasında gönderilmeyecek. c) Kullanıcı (client), Cookie değerini yalnızca HTTPS bağlantı üzerinden gönderebilir. d) Cookie, subdomainler üzerinde de kullanılabilir. Soru 19: Clickjacking'i önlemek için aşağıdakilerden hangisi veya hangileri kullanılır? a) HTTP Bağlantısı b) HTTPS Bağlantısı c) X-Frame-Options HTTP Başlığı d) Content-Security-Policy HTTP Başlığı Soru 20: Web sunucunuz güvenli (HTTPS) bağlantıları desteklemektedir. Tasarım gereği, bir istemcinin yanlışlıkla güvenli olmayan HTTP bağlantısı üzerinden bir sayfa istemediğinden emin olmanın en iyi yolu aşağıdakilerden hangisi veya hangileri olabilir? a) Bağlantı noktası 443 için tüm istekleri 80 numaralı bağlantı noktasına yönlendirmek b) Bağlantı noktası 80 için tüm istekleri 443 numaralı bağlantı noktasına yönlendirmek c) Tamamen 80 numaralı bağlantı noktasını kapatmak d) HTTP Strict-Transport-Security kullanmak Soru 21: Bir web sunucusunda index.html, index.php, index.xml, index.pl dosyaları aynı dizinde bulunmaktadır. Gönderilen url değiştirilmeden index.pl dosyasını nasıl görebilirsiniz? CEVAP: ......................................................................................................................... Soru 22: SQL injection saldırılarına karşı korumanın en etkili yolu ………………………….dır. Boşluğa gelecek uygun cevap hangisidir? a) Input değerlerinde "1 OR 1 = 1" ve "UNION" gibi ifadeleri kara listeye almak. b) Saldırıları tespit etmek için bir saldırı tespit sistemi kullanmak. c) Beyaz liste girişi (ör. Yalnızca alfasayısal karakterlere ve boşluklara izin verme). d) Prepared statements veya parametreli sorguların kullanılması.
  7. 7. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 23: Cross Site Scriptting (XSS) güvenlik açıkları için aşağıdakilerden hangisi doğru değildir? a) Saldırgan, kullanıcının makinesinde rastgele kod çalıştırabilir. b) Saldırgan, bir kullanıcının kimliğine bürünmek için bir XSS güvenlik açığından yararlanabilir. c) Reflected XSS zafiyeti, yalnızca kullanıcı belirli bir eylem gerçekleştirdiğinde tetiklenebilir. d) Kullanıcı, normalde güvendiği bir sayfada kendisini Reflected XSS'e karşı korumak için hiçbir şey yapamaz. Soru 24: HTML5 güvenliği hakkında aşağıdaki ifadelerden hangisi doğrudur? a) HTML5'te, AJAX istekleri ile kısıtlama olmaksızın diğer domainlerden okuma işlemi yapılabilir. b) HTML5 özellikleri sayesinde, bir saldırgan ClickJacking aracılığıyla bir iframe'den veri çalabilir. c) Bir sayfada HTML5 tarafından sunulan yeni özellikleri kullanmamak, bu özelliklerin getirdiği yeni güvenlik risklerine karşı korunmak için iyi bir yoldur. d) HTML5, XSS'e karşı daha kolay koruma sağlar. Soru 25: AJAX isteklerinde CSRF (Cross Site Request Forgery) saldırılarını önlemek için aşağıdakilerden hangileri yapılabilir? a) Yalnızca AJAX isteklerini gerçekleştirmesi beklenen siteden cross-origin isteklere izin vermek için Access-Control-Allow-Origin başlığını eklemek. b) GET yerine POST XmlHttpRequests kullanmak c) AJAX isteklerini gerçekleştirmesi gereken siteye yalnızca XmlHttpRequests'e yanıt dönmesi için yönlendirme denetimi kullanmak. d) XmlHttpRequest verilerini XML yerine JSON biçiminde göndermek.
  8. 8. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 26: Aşağıdaki kod bloğu bir web projesinde kullanılmaktadır. Bu kod bloğunun barındırdığı zafiyet, yapılan hata nedir ve bu tür bir hatayı önlemek için neler yapılmalıdır? CEVAP: ……………………………………………………………………………………………………………………. Soru 27: Bir linux sistemde aşağıdaki komut çalıştırılmıştır. Bu komut ile ne amaçlanmak istenmektedir? $ journalctl -u 'systemd-logind' --since "today" --until "tomorrow" a) Sunucunun kim tarafından kapatıldığı öğrenilmek istenmektedir. b) Journalctl loglarını listelemektedir. c) Son bir gün içerisinde sisteme yapılan girişleri listelemek istemektedir. d) Son bir gün içerisindeki sistem loglarını silmek istemektedir.
  9. 9. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 28: Sistem yöneticisi sorumlu olduğu linux ağ geçidi üzerinde aşağıda belirtilen komut ile aşağıdakilerden hangisi veya hangilerini gerçekleştirmeyi amaçlamaktadır? ngrep –q –W byline -v ‘^GET|PUT|POST|HTTP/1.[01]‘ tcp port 80 a) Dnssec kullanımını aktif hale getirmek. b) IP Spoofing işlemini tespit etmeye çalışmak. c) 80/tcp portu icin HTTP protokol anormalliğini tespit etmeye çalışmak. d) 443/tcp portundan SSH kullanımı yasaklamak. e) 80/tcp portuna gerçekleştirilecek olan port taramalarını tespit etmek. Soru 29: Linux tabanlı bir sistem üzerinde aşağıdaki gibi bir durum mevcuttur. -r-------- 1 root root 56112 May 12 2017 /bin/chmod ---------- 1 user user 92189 Jan 17 2017 /home/user/questions.txt Yukarıdaki duruma göre questions.txt dosyasının içini okumak isteyen root kullanıcısı ne yapabilir? CEVAP: ..................................................................................................................................... Soru 30: Ağı dinleyen sistem yöneticisi aşağıda görülen mesajı yakalamıştır. İletilmek istenen mesaj nedir? 01100001010101110011010101101111010010010100100001110000011010000110000101 00100001000101011001110110010000110011011011000011001001100010011011100110 11000110111101100100010010000100000100111101 CEVAP: ....................................................................................................................................
  10. 10. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.

×