Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

Recommended Posts

КАКВО Е НИВОТО НА ПОЗНАНИЯТА ВИ

(стандартни въпроси за проверка на знанията, на кандидатите)

 

За да проверите дали наистина нивото на познанията ви е добро е необходимо да се опитате да отговорите на следните десет въпроса без да ползвате internet.
На колкото повече от въпросите дадете правилен отговор (проверката може да направите напълно самостоятелно) толкова по-подготвени сте.


1. При кой от вариантите на спам, злоумишленикът е принуден да укаже обратен адрес?

 - Фишинг поща
 - Нигерийска схемаю
 - Спам, съдържащ вредоносен код

 

2. Възможно ли е злоумишленикът да прихване информация, ако тя бъде въвеждана от виртуална клавиатура?

 - Не.
 - Не, ако компютъра ползва видеокамера.
 - Да.

 

3. Кой от посочените проблеми може да бъде разрешен посредством "посоляване" на парола?

- Избрана е много къса парола
 - Избрана е неефективна парола
 - Наличие на съвпадение на пароли за различни потребители

 

4. Коя от посочените по-долу програми е предназначена за атака на on-line банкиране? 

- Chameleon.
- Virus.Win9x.CIH.
 - Carberp.

 

5. Коя от посочените атаки на on-line банкирането е технически най-сложна и изисква имплементиране на експлойт на използвания от крайния потребител информационен ресурс?

 - Phishing
 - Man-in-the-Middle
 - Man-in-the-Endpoint

 

6. Къде е слабото място  на протокола  Diffie-Hellman, DH? 

 - Ненадежден математически апарат
 - Уязвимост към атаки Man-in-the-Middle.
 - Уязвимост към brute-force attack, с оглед на увеличената производителност на съвременните компютри

 

7. Кой от изброените методи на DDоS-атаки води до многократно увеличение на трафика?

 - UDP flood.
- Http slow post.
 - Dns amplification атака.

 

8. Кой от изброените хеш-алгоритми работи най-бързо?

 - CRC32
 - MD5
 - SHA-2

 

9. Kакви криптографски методи се използват в технологията блокчейн?

 - Поточно шифроване
 - Хеширане
 - Цифров подпис 

 

10. Посочете всички правилни формулировки:

 - Форматът HTTPS е разработен специално за нуждите на on-line банкирането
 - HTTPS е напълно самостоятелен по отношение на HTTP протокол
 - HTTPS — е просто разширение на HTTP, при който е добавено шифроване на предаваните данни

 

Искам да изкажа искрената си благодарност на А.Лазовски.

Това са част от въпросите за начинаещи, които компаниите за киберсигурност в Русия задават на стандартни интервюта.

Оригиналните въпроси, както и две задачи може да намерите на следния адрес:

 

https://xakep.ru/2018/03/07/coding-challenges-228/

 

Обещавам да ви запозная и с някои от въпросите за членство в BS. Ще се радвам ако въпросите не ви затруднят.

  • Like 3

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Моля да ме извините, но един от въпросите е леко подвеждащ.

Ще приема, че не сте успели да намерите точната информация и ще ви помогна.

Това е нагледна илюстрация на това, защо понякога е добре да познаваме и теорията.

За да отговорите правилно на въпрос номер шест е нужно да сте се запознали много внимателно със следната статия:

 

https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf

 

Тази статия има изключително голяма практическа тежест.

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Ако ми позволите ще обърна специално внимание на двете задачи, които Лазовски е публикувал в своя пост. И двете са свързани с професията на пентестера и си струва да им отделим малко внимание.

Ето текстовете на двете задачи:

 

Задачи за хакери:

Задача 1:

На работната станция на потребителя е намерена подозрителна програма, която агрегира (краде) данни. 

Потребителят е направил дъмп на програмата преди да бъдат изпратени зашифровани данни.

Паролата на архива е: infected

ЗАДАЧА:  Да се намери флага .

Забележка: Тук аз имам редица въпроси, но се надявам с ваша помощ да намерим отговор. Според мен заданието не е формулирано достатъчно прецизно. Мисля, че е правилно да се изисква  анализ на вредоносния код, без да се извърши пълно дезархивиране. Поправете ме ако греша.

 

Задача 2
 

Приемаме, че сте получили зашифрован файл flag.enc.

При шифроването на файла е използван алгоритъм AES-256-ECB.

За ваш късмет разполагате със секретния ключ на зашифрования файл, а именно key.enc.

Проблемът е, че при шифроването е използван алгоритъм RCA и публичен ключ key.pub.

ЗАДАЧА:  Да се дешифрира файлът flag.enc.

 

В превода си не съм съблюдавал дословно руския текст. Причината за това е, че в определени пасажи са използвани жаргонни фрази (като "флаг"). Идеята е да добиете представа за това как изглеждат заданията.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Обръщам специално внимание на въпрос с номер 8 защото там има много тънка уловка. Във въпроса ясно е записано, че става дума за хеш-алгоритми. Обърнете внимание, че е използвано множествено число. Това не е направено случайно. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.