Điều nào trong số này không phải là tấn công tiêu đề HTTP?

Content-length

Accept-Language

Referer

Response splitting

Trả lời:

Đáp án đúng: A

Tấn công tiêu đề HTTP (HTTP Header Injection) là một loại tấn công mà kẻ tấn công chèn các tiêu đề HTTP độc hại vào các yêu cầu HTTP, có thể dẫn đến nhiều vấn đề bảo mật khác nhau. Các tiêu đề như Content-Length và Referer có thể bị lợi dụng trong các cuộc tấn công, trong khi Accept-Language thường ít được sử dụng trực tiếp cho mục đích tấn công hơn. Response splitting là một dạng tấn công tiêu đề HTTP cụ thể, trong đó kẻ tấn công chèn các ký tự xuống dòng (CRLF) vào tiêu đề HTTP để chèn các tiêu đề và nội dung HTTP tùy ý vào phản hồi của máy chủ. Do đó, "Accept-Language" ít liên quan đến tấn công tiêu đề HTTP hơn so với các lựa chọn còn lại.

170 câu trắc nghiệm Bảo mật an ninh mạng có đáp án chi tiết - Phần 2

Cùng ôn thi với bộ câu hỏi trắc nghiệm môn Bảo mật an ninh mạng có đáp án mà tracnghiem.net chia sẽ dưới đây, nhằm giúp các bạn sinh viên chuyên ngành chuẩn bị cho kì thi sắp tới.

50 câu hỏi 60 phút

Bắt đầu thi

Câu hỏi liên quan

Câu 21:

Ngôn ngữ đánh dấu nào được thiết kế để mang dữ liệu?

Lời giải:

Đáp án đúng: A

XML (eXtensible Markup Language) là một ngôn ngữ đánh dấu được thiết kế để mang và lưu trữ dữ liệu. XML tập trung vào việc mô tả cấu trúc và ý nghĩa của dữ liệu, không phải cách hiển thị dữ liệu đó. Trong khi đó, HTML được thiết kế để hiển thị dữ liệu, ICMP là một giao thức được sử dụng để gửi thông báo lỗi và trạng thái, và HTTP là giao thức truyền tải siêu văn bản được sử dụng để truyền dữ liệu trên web.

Câu 22:

Kiểu tấn công nào sửa đổi các trường có chứa các đặc tính khác nhau của dữ liệu đang được truyền đi?

Lời giải:

Đáp án đúng: A

Kiểu tấn công XML manipulation sửa đổi các trường chứa các đặc tính khác nhau của dữ liệu đang được truyền đi. XML (Extensible Markup Language) là một định dạng dữ liệu phổ biến được sử dụng để truyền dữ liệu giữa các hệ thống. Tấn công XML manipulation lợi dụng các lỗ hổng trong cách xử lý XML để thay đổi cấu trúc hoặc nội dung của tài liệu XML, từ đó gây ra các hành vi không mong muốn.

Các lựa chọn khác không phù hợp vì:

HTTP header: Header của HTTP chứa các thông tin metadata về yêu cầu hoặc phản hồi HTTP, không phải dữ liệu chính.

HTML packet: HTML là ngôn ngữ đánh dấu để tạo trang web, không phải là phương tiện truyền dữ liệu tổng quát.

SQL injection: Là một kỹ thuật tấn công bằng cách chèn mã SQL độc hại vào các truy vấn SQL, không liên quan trực tiếp đến việc sửa đổi các trường dữ liệu đang truyền đi theo cách tổng quát như XML manipulation.

Câu 23:

Cơ sở của một cuộc tấn công SQL injection là gì?

Lời giải:

Đáp án đúng: A

SQL injection là một kỹ thuật tấn công bằng cách chèn các câu lệnh SQL độc hại vào các truy vấn SQL thông qua dữ liệu đầu vào từ người dùng mà không được kiểm tra hoặc lọc bỏ các ký tự đặc biệt. Mục đích của việc này là để thay đổi logic của câu truy vấn, từ đó kẻ tấn công có thể truy cập, sửa đổi hoặc xóa dữ liệu trái phép trong cơ sở dữ liệu. Do đó, đáp án đúng là 'Để chèn câu lệnh SQL thông qua đầu vào người dùng chưa được lọc'. Các đáp án còn lại không mô tả đúng bản chất của tấn công SQL injection.

Câu 24:

Một tên khác cho một đối tượng được chia sẻ cục bộ là gì?

Lời giải:

Đáp án đúng: A

Đối tượng được chia sẻ cục bộ (Local Shared Object - LSO) còn được gọi là "Flash cookie". Flash cookie được sử dụng bởi Adobe Flash Player để lưu trữ thông tin trên máy tính của người dùng, tương tự như cách cookie HTTP hoạt động đối với trình duyệt web. Các tùy chọn khác không phải là tên gọi khác của LSO.

Câu 25:

Điều gì là duy nhất về tấn công cross-site scripting (XSS) so với các cuộc tấn công injection khác?

Lời giải:

Đáp án đúng: A

Điểm độc đáo của tấn công XSS so với các kiểu tấn công injection khác (như SQL injection, command injection) nằm ở mục tiêu và cách thức thực hiện. Trong khi các kiểu tấn công injection khác nhắm vào việc khai thác lỗ hổng trong ứng dụng web hoặc hệ thống máy chủ, XSS lại tập trung vào việc chèn mã độc hại vào trang web và thực thi mã đó trên trình duyệt của người dùng khác. Do đó, XSS đặc biệt ở chỗ nó *yêu cầu sử dụng trình duyệt* để thực hiện cuộc tấn công. Mã độc (thường là JavaScript) được chèn vào website và khi người dùng truy cập trang web, trình duyệt của họ sẽ thực thi đoạn mã này, gây ra các hành động không mong muốn như đánh cắp cookie, chuyển hướng đến trang web độc hại, hoặc thay đổi nội dung trang web.

Câu 26:

Trojan Horse là gì?

Lời giải: