Тестування з веб безпеки
22:46 13.08.2008Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки. Тест базується на моїй системі тестування FlashTestSystem.
В даній версії додав 10 нових запитань, цього разу по шостому розділу мого Посібника з безпеки. Тепер у тесті 40 запитань на web security тематику, які базуються на шести розділах мого посібника.
Вдалого вам тестування 
.
Неділя, 20:34 24.08.2008
83%
Перл не знаю взагалі, тому вгадував
Загалом, тест залишає враження незавершеності. Деякі питання дуже прості та очевидні, деякі дуже специфічні. Ще треба причесати
П'ятниця, 23:16 17.10.2008
Ти не соромся, проходь тест повторно, і піднімеш свій результат до 100%
.
Питання тесту повністю базуються на моєму Посібнику з безпеки (одне з призначень даного тесту - закріплення отриманих з посібника знань). Тому прочитавши посібник, ти зможеш і на питання по Перлу відповісти вірно.
Враховуючи, що тест базується на моєму посібнику, то він й відображує стан посібника. Чим більш завершеним буде ставати посібник, тим більш завершеним я буду робити і тест.
Даний тест обов’язково буду причесувати
. Разом з написанням нових глав в посібник, буду й тест оновлювати (додавати нові, прибирати дуже прості, покращувати існуючі питання).
П'ятниця, 16:25 24.04.2009
Оновив тест - виправив одну помилку в питаннях тесту (в питанні №36). Що не дозволяло правильно відповісти на це питання (і відповідно набрати 100% правильних відповідей).
Теперь всі питання тесту є коректними і ви можете спробувати його пройти
.
Середа, 01:30 13.05.2009
Здравствуйте, MustLive! Интересный тест. Спасибо. Я удивлён себе. В принципе я новичёк в среде web приложений, программирование не знаю вообще… просто как сисадмина меня очень интересует взлом.))) Или защита. А в общем и то и другое.
Середа, 01:52 13.05.2009
Black Mirror
Всегда пожалуйста.
Планирую обновить тест - добавить 10 новых вопросов
. Вопросы будут по новому материалу, что я добавил в свой секюрити мануал ещё в ноябре 2008 года. С тех пор и планирую обновить свой тест - всё некогда. Как-нибудь всё же доберусь до этого.
Середа, 02:28 13.05.2009
Вчера его как раз просматривал - Ваш мануал. Радует, что Родные соотечественники не отстают, а благодаря вам во многом опережают…
Доберётесь, или нет… жизнь покажет. Всегда нужно отдавать предпочтение чему-то, что важнее. Простите, что на русском, но так уж сложилась судьба…
Тест и сейчас полезен. Особенно если к нему пару раз вернуться.
Я часто читаю ваши статьи, получаю RSS. Учусь у Вас. Спасибо.
Четвер, 21:01 14.05.2009
Моё тестирование, как я не раз писал, основано на мануале. Поэтому основное его предназначение - проверка усвоенной информации из мануала. Также тест можно использовать и для общей проверки знаний в области веб безопасности.
Пока ещё мало написал информации в мануале, за время прошедшее с декабря 2005, когда я сделал его первую версию. Но постепенно пишу новые главы.
Ты это о том, что украинцы в плане взломов веб сайтов и киберкриминальной деятельности опережают другие страны?
. В этом я стараюсь не особенно способствовать, больше настраивая людей на позитивную деятельность, в том числе на устранение уязвимостей на сайтах и повышение их безопасности.
К сожалению, за более 4 лет моей работы, Уанет как был одной из наиболее дырявых частей Сети, так ей и остаётся. Пока что мало позитивных изменений.
Уже добрался
. Можешь пройти обновленный тест.
Да, польза от него есть. Особенно при использовании его для закрепления полученных знаний из мануала.
Вівторок, 11:01 22.02.2011
Вопрос там есть, примерно такой:
Можно ли прочитать скрытые данные?
а) Да
б) Нет
в) Это доступно только атакующему
(Слово “хакер” я сменил на “атакующий”, имхо, это более верно отображает суть)
Ну и какой ответ выбрать? Сам вопрос с подвохом. Что за данные, откуда данные? Странный вопрос. Без уточнения деталей, тут верны оба ответа а) и в).
Вівторок, 11:07 22.02.2011
Например, самый элементарный вариант - доступ к информации на форуме, доступен только после регистрации. Необходима ли здесь атака на систему? Нет. А вот для того, чтобы прочитать wp-config.php этого сайта, придётся потрудится.
В обоих случаях, я получаю доступ к информации.
Вівторок, 16:30 22.02.2011
qwerty
Как я уже отмечал, вопросы в тесте основаны на моём руководстве по безопасности. И данный вопрос в том числе - в тексте мануала рассказывается о скрытых данных (скрытых полях в HTML) и это вопрос именно об этих данных.
Это вопрос о скрытых (hidden) полях в HTML (что было бы ясно для тех, кто читал мануал). И в мануале я рассказывал о том, можно ли их прочесть и насколько они “скрытые”.
Подвоха здесь нет. Слово “хакер” используется в качестве аллегории - что мол только крутому хакеру доступна возможность чтения hidden полей, а обычным пользователям эти поля не подсмотреть. Естественно, человек хорошо знающий HTML (и/или человек прочитавший мой мануал) будет знать ответ на этот вопрос - “Да” (т.к. не только хакер, но и любой желающий легко может подсмотреть скрытые поля и даже изменить их).
Вот это знание и проверяется в данном вопросе. А в настоящее время не только обычные пользователи, но и многие веб разработчики этого не понимают и считают скрытые поля надёжными. Что хорошо видно по множеству XSS, SQLi и других дыр (в том числе и Information Leakage) в веб приложениях, связанных с hidden полями.
Вівторок, 19:34 22.02.2011
В данном случае, как я уже сказал, речь идёт не о доступе к информации, а об скрытых полях в html-странице. Т.е. в своём мануале я развеиваю миф о “надёжности” hidden полей - т.к. они предназначены для удобства работы веб приложений, а не для безопасности (хотя разработчики стандарта HTML по наивности полагали, что хоть какой-нибудь безопасности они добавят).
И в этом вопросе проверяются эти знания. Т.к. по прежнему существует, как я говорил выше, некорректное понимание механизма работы скрытых полей.
А доступ к информации (которая требует той или иной авторизации), будь-то данные на форуме или исходники сайта, это не относится к данному вопросу
.