Kỹ thuật tấn công SQL Injection như thế nào?

Attacker lợi dụng lỗ hỏng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ thống CSDL trả về để chèn vào các đoạn truy vấn SQL nhằm truy cập vào CSDL và có thể thực hiện các thao tác trên CSDL.

Attacker lợi dụng lỗ hỏng của việc kiểm tra website.

tất cả đều sai.

tất cả đều đúng.

Trả lời:

Đáp án đúng: A

Kỹ thuật tấn công SQL Injection lợi dụng việc kiểm tra dữ liệu đầu vào không chặt chẽ trong các ứng dụng web. Kẻ tấn công sẽ chèn các đoạn mã SQL độc hại vào các trường dữ liệu (ví dụ: form đăng nhập, tìm kiếm) để thay đổi hoặc bổ sung vào câu lệnh SQL ban đầu mà ứng dụng web sử dụng để truy vấn cơ sở dữ liệu. Khi ứng dụng thực thi câu lệnh SQL đã bị chỉnh sửa này, kẻ tấn công có thể truy cập trái phép vào dữ liệu, sửa đổi dữ liệu, hoặc thậm chí thực thi các lệnh hệ thống trên máy chủ cơ sở dữ liệu. Phương án A mô tả chính xác kỹ thuật tấn công SQL Injection. Các phương án khác không đầy đủ và chính xác bằng.

Câu hỏi trắc nghiệm An toàn thông tin số có lời giải cụ thể

49 câu hỏi 60 phút

Bắt đầu thi

Câu hỏi liên quan

Câu 44:

Các kiểu khai thác của SQL Injection là gì?

Lời giải:

Đáp án đúng: D

Các kiểu khai thác SQL Injection bao gồm:

* Tautologies (Mệnh đề luôn đúng): Lợi dụng các điều kiện luôn đúng để vượt qua các kiểm tra bảo mật.
* Illegal/Logically Incorrect Queries (Truy vấn không hợp lệ/Sai logic): Gây ra lỗi hoặc hành vi không mong muốn trong ứng dụng.
* Union query (Truy vấn Union): Kết hợp kết quả của nhiều truy vấn để truy xuất dữ liệu trái phép.

Do đó, đáp án D (cả 3 đều đúng) là đáp án chính xác.

Câu 45:

XSS được viết tắt từ những từ gì?

Lời giải:

Đáp án đúng: A

XSS là viết tắt của Cross-Site Scripting, một loại lỗ hổng bảo mật web cho phép kẻ tấn công chèn các đoạn mã độc hại (thường là JavaScript) vào các trang web mà người dùng khác xem. Khi người dùng truy cập trang web bị nhiễm mã độc, trình duyệt của họ sẽ thực thi mã này, cho phép kẻ tấn công đánh cắp thông tin nhạy cảm, thay đổi nội dung trang web hoặc thực hiện các hành động khác dưới danh nghĩa của người dùng.

Do đó, đáp án đúng là A.

Câu 46:

Những tác động tấn công XSS là gì?

Lời giải:

Đáp án đúng: D

Tấn công XSS (Cross-Site Scripting) cho phép kẻ tấn công chèn mã độc hại (thường là JavaScript) vào các trang web mà người dùng khác xem. Khi người dùng truy cập trang web đã bị nhiễm mã độc, mã này sẽ thực thi trên trình duyệt của họ và có thể gây ra nhiều tác động tiêu cực, bao gồm:

* Đánh cắp phiên của người dùng: Mã XSS có thể truy cập cookies phiên của người dùng, cho phép kẻ tấn công mạo danh và chiếm đoạt tài khoản của họ.
* Đánh cắp dữ liệu nhạy cảm: Mã XSS có thể truy cập thông tin cá nhân, thông tin tài chính, và các dữ liệu nhạy cảm khác mà người dùng nhập vào trang web.
* Thay đổi giao diện trang web: Mã XSS có thể thay đổi giao diện trang web để lừa người dùng cung cấp thông tin hoặc thực hiện các hành động không mong muốn.

Vì tất cả các tác động trên đều có thể xảy ra do tấn công XSS, đáp án đúng là "tất cả đều đúng".

Câu 47:

Persistent XSS (Stored XSS) là kỹ thuật tấn công vào nơi nào?

Lời giải:

Đáp án đúng: B

Persistent XSS, hay còn gọi là Stored XSS, là một loại tấn công XSS mà mã độc được lưu trữ trên máy chủ mục tiêu (ví dụ: trong cơ sở dữ liệu, trên hệ thống tập tin). Khi người dùng khác truy cập vào trang web, mã độc này sẽ được thực thi. Do đó, Persistent XSS tấn công cả website (nơi mã độc được hiển thị) và cơ sở dữ liệu (nơi mã độc được lưu trữ).

Câu 48:

Hình thức tấn công Non-Persistent XSS (Reflected XSS) là gì?

Lời giải:

Đáp án đúng: B

Hình thức tấn công Non-Persistent XSS (Reflected XSS) hoạt động bằng cách kẻ tấn công chèn mã độc vào một đường link. Khi người dùng truy cập vào đường link này, mã độc sẽ được thực thi trên trình duyệt của người dùng, từ đó kẻ tấn công có thể đánh cắp thông tin hoặc thực hiện các hành động trái phép khác. Do đó, đáp án đúng là B.

Câu 49:

Kỹ thuật tấn công DOM-based XSS là gì?

Lời giải: