आवेदन सुरक्षा साक्षात्कार प्रश्न
हम चारों ओर चर्चा करेंगे आवेदन सुरक्षा साक्षात्कार प्रश्न/प्रवेश परीक्षण साक्षात्कार प्रश्न जिसमें बहुधा पूछे जाने वाली सूची होती है सुरक्षा के बारे में सवाल और भी कवर किया सुरक्षा अभियंता साक्षात्कार प्रश्न और साइबर सुरक्षा साक्षात्कार प्रश्न:
गंभीर || आवेदन सुरक्षा साक्षात्कार प्रश्न
मेजर || आवेदन सुरक्षा साक्षात्कार प्रश्न
मूल || आवेदन सुरक्षा साक्षात्कार प्रश्न
बेस लेवल -1 || गंभीर || आवेदन सुरक्षा साक्षात्कार प्रश्न
एक HTTP प्रोग्राम राज्य को कैसे संभालेगा?
HTTP एक स्टेटलेस प्रोटोकॉल है जो वेब एप्लिकेशन स्थिति को संभालने के लिए कुकीज़ का उपयोग करता है ।HTTP नीचे दिए गए दृष्टिकोण और सत्र को बनाए रखने में वेब एप्लिकेशन स्थिति को संभाल सकता है:
डेटा कुकीज़ या वेब सर्वर के सत्र में संग्रहीत किया जा सकता है।
क्रॉस साइट स्क्रिप्टिंग या XSS से आप क्या समझते हैं?
क्रॉस-साइट स्क्रिप्टिंग, जिसे एक्सएसएस के रूप में संक्षिप्त किया गया है, एक क्लाइंट-साइड कोड इंजेक्शन समस्या है जहां अनधिकृत उपयोगकर्ता का उद्देश्य वेब एप्लिकेशन में दुर्भावनापूर्ण कोड को शामिल करके उपयोगकर्ता के वेब ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट निष्पादित करना है और इसलिए एक बार जब उपयोगकर्ता उस वेब एप्लिकेशन पर जाता है तो दुर्भावनापूर्ण कोड निष्पादित हो जाता है जिसके परिणामस्वरूप कुकीज़, सत्र टोकन के साथ-साथ अन्य संवेदनशील जानकारी से समझौता किया जा सकता है।
XSS के प्रकार क्या हैं?
XSS की तीन अलग-अलग श्रेणियां हैं:
प्रतिबिंबित XSS: इस दृष्टिकोण में, दुर्भावनापूर्ण स्क्रिप्ट इस भेद्यता के मामले में डेटाबेस में संग्रहीत नहीं है; इसके बजाय, यह वर्तमान HTTP अनुरोध से आता है।
संग्रहीत XSS: संदिग्ध लिपियों को वेब एप्लिकेशन के डेटाबेस में संग्रहीत किया गया है और टिप्पणी क्षेत्र या चर्चा मंचों, आदि जैसे कई तरीकों से प्रभावित व्यक्ति की कार्रवाई से वहां से आरंभ किया जा सकता है।
डोम एक्सएसएस: DOM (डॉक्यूमेंट ऑब्जेक्ट मॉडल) XSS में, सर्वर-साइड कोड के बजाय क्लाइंट-साइड कोड के भीतर संभावित मुद्दे मौजूद हैं। इस प्रकार इस प्रकार, दुर्भावनापूर्ण स्क्रिप्ट ब्राउज़र में बहती है और DOM में स्रोत स्क्रिप्ट के रूप में कार्य करती है।
यह संभावित प्रभाव तब उत्पन्न होता है जब क्लाइंट-साइड कोड DOM से डेटा पढ़ता है और इनपुट को फ़िल्टर किए बिना इस डेटा को संसाधित करता है।
10 के शीर्ष 2021 क्या हैं?
उल्लू जोखिम रेटिंग पद्धति का उल्लेख करें?
Owasp जोखिम रेटिंग पद्धति को अलग-अलग परतों में अलग किया जाता है, जैसे:
बताएं कि ट्रेसर या ट्रेसरआउट कैसे संचालित होता है?
Tracerout या Tracert जैसा कि नाम से पता चलता है कि मेजबान मशीन और रिमोट मशीन के बीच के मार्ग का मूल रूप से निरीक्षण और विश्लेषण करता है। यह नीचे की गतिविधियाँ करता है:
ICMP क्या है?
ICMP इंटरनेट नियंत्रण संदेश प्रोटोकॉल के लिए खड़ा है, OSI मॉडल की नेटवर्क परत पर स्थित है, और टीसीपी / आईपी का एक अभिन्न अंग है।
ICMP या पिंगिंग के लिए कौन सा पोर्ट है?
पिंग को किसी भी पोर्ट की आवश्यकता नहीं है और ICMP का उपयोग करता है। इसका उपयोग यह पहचानने के लिए किया जाता है कि दूरस्थ होस्ट सक्रिय स्थिति में है या नहीं, और यह पैकेट नुकसान और राउंड-ट्रिप देरी की पहचान भी संचार के दौरान करता है।
सफल तैनाती और वेब घुसपैठ का पता लगाने की निगरानी के लिए चुनौतियों की सूची का उल्लेख करें?
टोकन के साथ असुरक्षित HTTP कुकीज़ से होने वाले जोखिम का उल्लेख करें?
एक्सेस टोकन के साथ-साथ HTTP कुकीज़ को झंडी नहीं देने पर अभिगम नियंत्रण उल्लंघन प्रभाव शुरू हो जाता है।
OWASP ESAPI के मूल डिजाइन का उल्लेख करें?
प्रमुख OWASP ESAPI डिजाइन हैं:
पोर्ट स्कैनिंग क्या है?
बंदरगाहों की स्कैनिंग से पता चलता है कि सिस्टम में कुछ कमजोर बिंदु हो सकते हैं, जिसके लिए संयुक्त राष्ट्र अधिकृत उपयोगकर्ता कुछ महत्वपूर्ण और संवेदनशील जानकारी को लक्षित और खींच सकता है।
विभिन्न प्रकार के पोर्ट स्कैन का उल्लेख करें?
एक हनीपोट क्या है?
हनीपोट एक कंप्यूटर प्रणाली है जो साइबर मुद्दों के संभावित लक्ष्यों की नकल करती है। हनीपोट मूल रूप से वैध लक्ष्य से कमजोरियों का पता लगाने और विक्षेपण के लिए उपयोग किया जाता है।
विंडोज और लिनक्स में से कौन सा सुरक्षा प्रदान करता है?
दोनों ओएस के अपने पेशेवरों और विपक्ष हैं। फिर भी, जैसा कि सुरक्षा का संबंध है, अधिकांश समुदाय लिनक्स का उपयोग करना पसंद करते हैं क्योंकि यह विंडोज की तुलना में अधिक लचीलापन और सुरक्षा प्रदान करता है, यह देखते हुए कि कई सुरक्षा शोधकर्ताओं ने लिनक्स को सुरक्षित बनाने में योगदान दिया है।
एक लॉगिन पृष्ठ पर अधिकतर कौन सा प्रोटोकॉल लागू किया जाता है?
टीएलएस / एसएसएल प्रोटोकॉल अधिकांश स्थितियों में लागू होता है, जबकि डेटा ट्रांसमिशन लेयर में होता है। यह ट्रांसमिशन लेयर में एन्क्रिप्शन का उपयोग करके उपयोगकर्ता के महत्वपूर्ण और संवेदनशील डेटा की गोपनीयता और अखंडता को प्राप्त करने के लिए किया जाना है।
सार्वजनिक कुंजी क्रिप्टोग्राफी क्या है?
सार्वजनिक कुंजी क्रिप्टोग्राफ़ी (PKC), जिसे असममित क्रिप्टोग्राफ़ी के रूप में भी जाना जाता है, एक क्रिप्टोग्राफ़ी प्रोटोकॉल है जिसमें दो अलग-अलग सेट कीज़ की आवश्यकता होती है, अर्थात एक निजी और दूसरा डेटा एन्क्रिप्शन और डिक्रिप्शन के लिए सार्वजनिक है।
एन्क्रिप्शन करते समय और सामग्री पर हस्ताक्षर करते समय निजी और सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी के बीच अंतर बताएं?
डिजिटल हस्ताक्षर के मामले में, प्रेषक डेटा पर हस्ताक्षर करने के लिए निजी कुंजी का उपयोग करता है और दूसरी ओर रिसीवर स्वयं प्रेषक की सार्वजनिक कुंजी के साथ डेटा को सत्यापित और सत्यापित करता है।
एन्क्रिप्शन में रहते हुए, प्रेषक रिसीवर की सार्वजनिक कुंजी के साथ डेटा को एन्क्रिप्ट करता है और रिसीवर डिक्रिप्ट और उसकी निजी कुंजी का उपयोग करके इसे सत्यापित करता है।
सार्वजनिक-कुंजी क्रिप्टोग्राफ़ी के प्रमुख अनुप्रयोग का उल्लेख करें?
सार्वजनिक कुंजी क्रिप्टोग्राफी के प्रमुख उपयोग के मामले हैं:
फ़िशिंग मुद्दों के बारे में चर्चा करें?
फ़िशिंग में, उपयोगकर्ता को बरगलाने और महत्वपूर्ण और संवेदनशील जानकारी प्रस्तुत करने के लिए उसके साथ छेड़छाड़ करने के लिए नकली वेब पेज पेश किया जा रहा है।
फ़िशिंग प्रयासों का बचाव करने के लिए आप क्या दृष्टिकोण अपना सकते हैं?
XSS भेद्यता सत्यापन और सत्यापन और HTTP रेफर हेडर फ़िशिंग के खिलाफ कुछ शमन दृष्टिकोण हैं।
एकाधिक लॉगिन प्रयासों का बचाव कैसे करें?
कई लॉगिन प्रयासों से बचाव के लिए अलग-अलग दृष्टिकोण हैं, जैसे:
सुरक्षा परीक्षण क्या है?
सुरक्षा परीक्षण किसी भी सॉफ्टवेयर (किसी भी सिस्टम या वेब या नेटवर्किंग या मोबाइल या किसी अन्य उपकरण) आधारित अनुप्रयोग में संभावित कमजोरियों की पहचान करने के लिए परीक्षण के प्रमुख महत्वपूर्ण क्षेत्रों में से एक है और संभावित जोखिम और घुसपैठियों से उनके गोपनीय और संवेदनशील डेटा सेट की सुरक्षा करता है।
"भेद्यता" क्या है?
उत्तर: भेद्यता को किसी भी प्रणाली में कमजोरी/बग/दोष के रूप में माना जाता है जिसके माध्यम से एक अनधिकृत उपयोगकर्ता सिस्टम या एप्लिकेशन का उपयोग करने वाले उपयोगकर्ता को लक्षित कर सकता है।
घुसपैठ का पता लगाने के लिए क्या है?
उत्तर: आईडीएस या घुसपैठ का पता लगाने वाला सिस्टम सॉफ्टवेयर या हार्डवेयर एप्लिकेशन है जो अस्वीकृत गतिविधि या नीति उल्लंघन के लिए नेटवर्क की निगरानी करता है। इस स्थिति में इसे आम तौर पर सुरक्षा जानकारी और संबंधित इवेंट प्रबंधन प्रणाली का उपयोग करके रिपोर्ट और हल किया जाता है।
कुछ घुसपैठ का पता लगाने वाली प्रणालियां खोज में घुसपैठ का पता लगाने के लिए पर्याप्त रूप से सक्षम हैं, जिसे घुसपैठ की रोकथाम प्रणाली (आईपीएस) के रूप में जाना जाता है।
बेस लेवल -2 || मेजर || आवेदन सुरक्षा साक्षात्कार प्रश्न
घुसपैठ जांच प्रणाली क्या है, टाइप करें:
आईडीएस डिटेक्शन मुख्य रूप से नीचे के प्रकार:
इनके साथ, आईडीएस प्रकारों का एक उपसमुच्चय है, जिनमें से प्रमुख प्रकार विसंगति का पता लगाने और हस्ताक्षर का पता लगाने पर आधारित हैं।
आप OWASP के बारे में क्या जानते हैं?
ओडब्ल्यूएएसपी को ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट के रूप में जाना जाता है जो एक संगठन है जो सुरक्षित सॉफ्टवेयर विकास का समर्थन करता है।
यदि सत्र टोकन में रेंज मानों में अपर्याप्त यादृच्छिकता है तो क्या संभावित समस्याएं उत्पन्न होती हैं?
सत्र टोकनों के साथ सत्र से छेड़छाड़ की समस्या उत्पन्न होती है, जिसमें रेंज के मूल्यों के भीतर अपर्याप्त यादृच्छिकता होती है।
"एसक्यूएल इंजेक्शन" क्या है?
उत्तर: SQL इंजेक्शन सबसे आम तकनीकों में से एक है जिसमें एक कोड को वेब बयानों के माध्यम से SQL बयानों में इंजेक्ट किया जाता है जो आपके डेटाबेस को नष्ट कर सकता है और संभवतः आपके DB से सभी डेटा को उजागर कर सकता है।
एसएसएल सत्र और एसएसएल कनेक्शन से आप क्या समझते हैं?
उत्तर: एसएसएल को सिक्योर सॉकेट लेयर कनेक्शन के रूप में जाना जाता है, जो पीयर-टू-पीयर लिंक के साथ संचार स्थापित करता है, दोनों कनेक्शन एसएसएल सत्र को बनाए रखते हैं।
एक एसएसएल सत्र सुरक्षा अनुबंध का प्रतिनिधित्व करता है, जिसमें कुंजी और एल्गोरिथ्म समझौते की जानकारी होती है जो एसएसएल सर्वर का उपयोग कर एसएसएल सर्वर से जुड़े कनेक्शन के बीच होता है।
एक एसएसएल सत्र सुरक्षा प्रोटोकॉल द्वारा नियंत्रित होता है जो एसएसएल क्लाइंट और एसएसएल सर्वर के बीच एसएसएल सत्र पैरामीटर बातचीत को नियंत्रित करता है।
उन दो मानक दृष्टिकोणों का नाम बताइए जिनका उपयोग पासवर्ड फ़ाइल को सुरक्षा प्रदान करने के लिए किया जाता है?
उत्तर: पासवर्ड फ़ाइल सुरक्षा के लिए दो प्रमुख रूप से लागू दृष्टिकोण हैं
IPSEC क्या है?
आईपीएसईसी को आईपी सुरक्षा के रूप में भी जाना जाता है, एक इंटरनेट इंजीनियरिंग टास्क फोर्स (आईईटीएफ) मानक प्रोटोकॉल है जो आईपी नेटवर्क में दो विभिन्न संचार परतों के बीच है। यह डेटासेट अखंडता, प्रमाणीकरण और गोपनीयता भी सुनिश्चित करता है। यह एन्क्रिप्शन, डिक्रिप्शन के साथ प्रमाणित डेटा पैकेट उत्पन्न करता है।
OSI मॉडल क्या है:
ओएसआई मॉडल जिसे ओपन सिस्टम इंटरकनेक्शन के रूप में भी जाना जाता है, एक मॉडल है जो विविध संचार प्रणालियों की मदद से मानक प्रोटोकॉल का उपयोग करके संचार को सक्षम बनाता है। अंतर्राष्ट्रीय मानकीकरण संगठन इसे बना रहा है।
ISDN क्या है?
ISDN का अर्थ है इंटीग्रेटेड सर्विसेज डिजिटल नेटवर्क, एक सर्किट-स्विच्ड टेलीफोन नेटवर्क सिस्टम। यह पैकेट स्विचड नेटवर्क एक्सेस प्रदान करता है जो डेटा के साथ-साथ आवाज के डिजिटल प्रसारण की अनुमति देता है। इस नेटवर्क पर, डेटा और आवाज की गुणवत्ता एक एनालॉग डिवाइस / फोन से बहुत बेहतर है।
CHAP क्या है?
CHAP, जिसे चैलेंज हैंडशेक ऑथेंटिकेशन प्रोटोकॉल (CHAP) भी कहा जाता है, जो मूल रूप से P-2-P प्रोटोकॉल (PPP) ऑथेंटिकेशन प्रोटोकॉल है, जहां लिंक के शुरुआती स्टार्टअप का उपयोग किया जाता है। इसके अलावा, यह मेजबान के साथ संचार करने वाले राउटर की आवधिक स्वास्थ्य जांच करता है। IAPF (इंटरनेट इंजीनियरिंग टास्क) द्वारा विकसित किया गया है।
यूएसएम क्या है, और यह क्या प्रदर्शन करता है?
USM उपयोगकर्ता-आधारित सुरक्षा मॉडल के लिए है, जिसका उपयोग सिस्टम प्रबंधन एजेंट द्वारा डिक्रिप्शन के लिए किया जाता है, एन्क्रिप्शन, डिक्रिप्शन, और प्रमाणीकरण के लिए भी एसएनएमपीवी3 पैकेट।
कुछ कारकों का उल्लेख करें जो कमजोरियों का कारण बन सकते हैं?
उत्तर: संभावित भेद्यता के कारण अधिकांश क्षेत्र निम्नलिखित हैं:
SSL सत्र कनेक्शन को परिभाषित करने के लिए पैरामीटर सूची का उल्लेख करें?
उत्तर: एसएसएल सत्र कनेक्शन को परिभाषित करने वाली विशेषताएँ निम्नलिखित हैं:
फ़ाइल गणन क्या है?
उत्तर: इसके एक प्रकार के मुद्दे जहां URL को जोड़कर जबरदस्त ब्राउज़िंग होती है, जहां संयुक्त राष्ट्र अधिकृत उपयोगकर्ता URL मापदंडों का शोषण करता है और संवेदनशील डेटा प्राप्त करता है।
घुसपैठ पहचान प्रणाली के क्या फायदे हैं?
उत्तर: घुसपैठ का पता लगाने वाली प्रणाली के निम्न फायदे हैं:
बेस लेवल -3 || मूल || आवेदन सुरक्षा साक्षात्कार प्रश्न
मेजबान घुसपैठ जांच प्रणाली क्या है?
(HIDS) होस्ट-आधारित घुसपैठ का पता लगाने वाले सिस्टम (HIDS) ऐसे अनुप्रयोग हैं जो व्यक्तिगत कंप्यूटर सिस्टम से एकत्रित जानकारी पर काम करते हैं और मौजूदा सिस्टम पर कार्य करते हैं और सिस्टम के पिछले दर्पण / स्नैपशॉट के साथ तुलना करते हैं और इसके लिए पुष्टि करते हैं कि कोई डेटा संशोधन या हेरफेर किया गया है और आउटपुट के आधार पर अलर्ट उत्पन्न करता है।
यह भी पता लगा सकता है कि कौन सी प्रक्रियाएं और उपयोगकर्ता दुर्भावनापूर्ण गतिविधियों में शामिल हैं।
NNIDS क्या है?
NNIDS का अर्थ है नेटवर्क नोड इन्ट्रोडक्शन डिटेक्शन सिस्टम (NNIDS), जो एक NIDS की तरह है, लेकिन यह केवल एक ही समय में एक होस्ट पर लागू होता है, संपूर्ण उपनेट पर नहीं।
तीन घुसपैठियों का उल्लेख करें कक्षाएं?
विभिन्न घुसपैठिए प्रकार हैं, जैसे:
SSL में उपयोग किए जाने वाले घटकों का उल्लेख करें?
एसएसएल क्लाइंट और सर्वर के बीच सुरक्षित कनेक्शन स्थापित करता है।
अस्वीकरण: इस आवेदन सुरक्षा साक्षात्कार प्रश्न ट्यूटोरियल पोस्ट के लिए है केवल शैक्षिक उद्देश्य. हम सुरक्षा मुद्दों/आचरण से संबंधित किसी भी गतिविधि का प्रचार/समर्थन नहीं करते हैं। व्यक्ति किसी भी अवैध कार्य के लिए पूरी तरह से जिम्मेदार है यदि कोई हो।
देबर्घ्य रॉय, 12 वर्षों से अधिक अनुभव वाले एक इंजीनियरिंग आर्किटेक्ट हैं, फॉर्च्यून 5 कंपनी के साथ काम करते हैं और एक सक्रिय ओपन सोर्स योगदानकर्ता हैं। जावा, सी#, पायथन और विभिन्न स्वचालन और प्रदर्शन इंजीनियरिंग उपकरणों सहित प्रौद्योगिकियों की एक विस्तृत श्रृंखला में कुशल, उनके पास स्प्रिंगबूट, काफ्का और ईएलके स्टैक का उपयोग करके सुरक्षा स्वचालन, आरपीए और बैक एंड डेवलपमेंट में भी विशेषज्ञता है। भारत के बैंगलोर में स्थित, देबर्घ्या को ब्लॉगिंग, संगीत का शौक है और वह "सभी के लिए शिक्षा" की वकालत करते हैं, जिसके कारण लैम्ब्डागीक्स की स्थापना हुई।