Тестування з веб безпеки

22:46 13.08.2008

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки. Тест базується на моїй системі тестування FlashTestSystem.

В даній версії додав 10 нових запитань, цього разу по шостому розділу мого Посібника з безпеки. Тепер у тесті 40 запитань на web security тематику, які базуються на шести розділах мого посібника.

Вдалого вам тестування ;-) .


11 відповідей на “Тестування з веб безпеки”

  1. trovich каже:

    83%

    Перл не знаю взагалі, тому вгадував :)
    Загалом, тест залишає враження незавершеності. Деякі питання дуже прості та очевидні, деякі дуже специфічні. Ще треба причесати :)

  2. MustLive каже:

    Ти не соромся, проходь тест повторно, і піднімеш свій результат до 100% ;-) .

    Перл не знаю взагалі, тому вгадував :)

    Питання тесту повністю базуються на моєму Посібнику з безпеки (одне з призначень даного тесту - закріплення отриманих з посібника знань). Тому прочитавши посібник, ти зможеш і на питання по Перлу відповісти вірно.

    Загалом, тест залишає враження незавершеності.

    Враховуючи, що тест базується на моєму посібнику, то він й відображує стан посібника. Чим більш завершеним буде ставати посібник, тим більш завершеним я буду робити і тест.

    Даний тест обов’язково буду причесувати :-) . Разом з написанням нових глав в посібник, буду й тест оновлювати (додавати нові, прибирати дуже прості, покращувати існуючі питання).

  3. MustLive каже:

    Оновив тест - виправив одну помилку в питаннях тесту (в питанні №36). Що не дозволяло правильно відповісти на це питання (і відповідно набрати 100% правильних відповідей).

    Теперь всі питання тесту є коректними і ви можете спробувати його пройти ;-) .

  4. Black Mirror каже:

    Здравствуйте, MustLive! Интересный тест. Спасибо. Я удивлён себе. В принципе я новичёк в среде web приложений, программирование не знаю вообще… просто как сисадмина меня очень интересует взлом.))) Или защита. А в общем и то и другое. :roll:

  5. MustLive каже:

    Black Mirror

    Всегда пожалуйста.

    Планирую обновить тест - добавить 10 новых вопросов ;-) . Вопросы будут по новому материалу, что я добавил в свой секюрити мануал ещё в ноябре 2008 года. С тех пор и планирую обновить свой тест - всё некогда. Как-нибудь всё же доберусь до этого.

  6. Black Mirror каже:

    Вчера его как раз просматривал - Ваш мануал. Радует, что Родные соотечественники не отстают, а благодаря вам во многом опережают… :lol:
    Доберётесь, или нет… жизнь покажет. Всегда нужно отдавать предпочтение чему-то, что важнее. Простите, что на русском, но так уж сложилась судьба…
    Тест и сейчас полезен. Особенно если к нему пару раз вернуться.
    Я часто читаю ваши статьи, получаю RSS. Учусь у Вас. Спасибо.

  7. MustLive каже:

    Вчера его как раз просматривал - Ваш мануал.

    Моё тестирование, как я не раз писал, основано на мануале. Поэтому основное его предназначение - проверка усвоенной информации из мануала. Также тест можно использовать и для общей проверки знаний в области веб безопасности.

    Пока ещё мало написал информации в мануале, за время прошедшее с декабря 2005, когда я сделал его первую версию. Но постепенно пишу новые главы.

    Радует, что Родные соотечественники не отстают, а благодаря вам во многом опережают…

    Ты это о том, что украинцы в плане взломов веб сайтов и киберкриминальной деятельности опережают другие страны? :-) . В этом я стараюсь не особенно способствовать, больше настраивая людей на позитивную деятельность, в том числе на устранение уязвимостей на сайтах и повышение их безопасности.

    К сожалению, за более 4 лет моей работы, Уанет как был одной из наиболее дырявых частей Сети, так ей и остаётся. Пока что мало позитивных изменений.

    Доберётесь, или нет… жизнь покажет.

    Уже добрался ;-) . Можешь пройти обновленный тест.

    Тест и сейчас полезен. Особенно если к нему пару раз вернуться.

    Да, польза от него есть. Особенно при использовании его для закрепления полученных знаний из мануала.

  8. qwerty каже:

    Вопрос там есть, примерно такой:
    Можно ли прочитать скрытые данные?
    а) Да
    б) Нет
    в) Это доступно только атакующему
    (Слово “хакер” я сменил на “атакующий”, имхо, это более верно отображает суть)
    Ну и какой ответ выбрать? Сам вопрос с подвохом. Что за данные, откуда данные? Странный вопрос. Без уточнения деталей, тут верны оба ответа а) и в).

  9. qwerty каже:

    Например, самый элементарный вариант - доступ к информации на форуме, доступен только после регистрации. Необходима ли здесь атака на систему? Нет. А вот для того, чтобы прочитать wp-config.php этого сайта, придётся потрудится.
    В обоих случаях, я получаю доступ к информации.

  10. MustLive каже:

    qwerty

    Как я уже отмечал, вопросы в тесте основаны на моём руководстве по безопасности. И данный вопрос в том числе - в тексте мануала рассказывается о скрытых данных (скрытых полях в HTML) и это вопрос именно об этих данных.

    Можно ли прочитать скрытые данные?

    Это вопрос о скрытых (hidden) полях в HTML (что было бы ясно для тех, кто читал мануал). И в мануале я рассказывал о том, можно ли их прочесть и насколько они “скрытые”.

    Подвоха здесь нет. Слово “хакер” используется в качестве аллегории - что мол только крутому хакеру доступна возможность чтения hidden полей, а обычным пользователям эти поля не подсмотреть. Естественно, человек хорошо знающий HTML (и/или человек прочитавший мой мануал) будет знать ответ на этот вопрос - “Да” (т.к. не только хакер, но и любой желающий легко может подсмотреть скрытые поля и даже изменить их).

    Вот это знание и проверяется в данном вопросе. А в настоящее время не только обычные пользователи, но и многие веб разработчики этого не понимают и считают скрытые поля надёжными. Что хорошо видно по множеству XSS, SQLi и других дыр (в том числе и Information Leakage) в веб приложениях, связанных с hidden полями.

  11. MustLive каже:

    В обоих случаях, я получаю доступ к информации.

    В данном случае, как я уже сказал, речь идёт не о доступе к информации, а об скрытых полях в html-странице. Т.е. в своём мануале я развеиваю миф о “надёжности” hidden полей - т.к. они предназначены для удобства работы веб приложений, а не для безопасности (хотя разработчики стандарта HTML по наивности полагали, что хоть какой-нибудь безопасности они добавят).

    И в этом вопросе проверяются эти знания. Т.к. по прежнему существует, как я говорил выше, некорректное понимание механизма работы скрытых полей.

    А доступ к информации (которая требует той или иной авторизации), будь-то данные на форуме или исходники сайта, это не относится к данному вопросу ;-) .

Leave a Reply

You must be logged in to post a comment.