QCM Protéger ses pages web
- Posted by Riadh HAJJI
- Categories ASW
- Date 10 décembre 2019
Sommaire
QCM Protéger ses pages web
-
Objectifs
- Connaitre l’internet.
Protéger ses pages web
Départ
Félicitation - vous avez complété Protéger ses pages web.
Vous avez obtenu %%SCORE%% sur %%TOTAL%%.
Votre performance a été évaluée à %%RATING%%
Vos réponses sont surlignées ci-dessous.
Question 1 |
L’extension CGI (Common Gateway Interface) permet
A | l’exécution d’un programme interne appelé « gateway » dont la sortie standard d’affichage sera renvoyée au client par le serveur http. |
B | l’exécution d’un programme interne appelé « gateway » dont la sortie standard d’affichage sera renvoyée au serveur par le client http. |
C | l’exécution d’un programme extérieure appelé « gateway » dont la sortie standard d’affichage sera renvoyée au client par le serveur http. |
D | l’exécution d’un programme extérieure appelé « gateway » dont la sortie standard d’affichage sera renvoyée au serveur par le client http. |
Question 2 |
htmlspecialchars() remplace tous les caractères qui ont une signification spéciale en HTML par leur entité HTML
A | Oui |
B | Non |
Question 3 |
Le WASC établie dans son rapport "WASC Threat Classification " une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport. (cocher la réponse fausse)
A | La catégorie " authentification " regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application. |
B | La catégorie "autorisation" couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application. |
C | La catégorie "attaques côté client" rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application. |
D | La catégorie "exécution de commandes " englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web. |
E | La catégorie "attaques binaires " caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles. |
F | La catégorie "révélation d’informations " définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. |
Question 4 |
Les tableaux super-globaux
$_GET, $_POST, $_REQUEST et $_COOKIE sont couramment identifiés comme des points d’entrée pour les injections A | MySql |
B | JavaScript |
C | HTML |
D | XHTML |
Question 5 |
Le WASC établie dans son rapport "WASC Threat Classification " une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport. (cocher la réponse fausse)
A | La catégorie "attaques logiques " caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles. |
B | La catégorie "attaques côté client" rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application. |
C | La catégorie "autorisation" couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application. |
D | La catégorie "exécution de commandes " englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web. |
E | La catégorie " web attaque " regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application. |
F | La catégorie "révélation d’informations " définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. |
Question 6 |
Lequel des énoncés suivants décrit une attaque par injection de LDAP ?
A | Envoi de débordement de tampon pour le service de requête LDAP. |
B | Utiliser XSS pour diriger l'utilisateur vers un serveur LDAP falsifié. |
C | Manipuler les requêtes LDAP pour obtenir ou modifier les droits d'accès. |
D | Création d'une copie des informations d'identification de l'utilisateur au cours de la session d'authentification LDAP. |
Explication pour la question 6:
En sécurité informatique , l' injection LDAP est une technique d' injection de code utilisée pour exploiter des applications Web qui pourraient révéler des informations utilisateur sensibles ou modifier des informations représentées dans les magasins de données LDAP (Lightweight Directory Access Protocol).
Question 7 |
Dans le cas des pages web, il faut neutraliser les caractères spéciaux HTML. Il y a deux fonctions de protection fournies par PHP :
A | htmlenteties() et htmlspecialchars() |
B | htmlenteties() et htmlspecialchar() |
C | htmlentities() et htmlspecialchars() |
D | htmlentities() et htmlspecialchar() |
Question 8 |
Les applications Web doivent gérer l'authentification des utilisateurs et établir des sessions pour suivre les demandes, car
A | le protocole HTTP ne dispose pas de cette fonction. |
B | le protocole HTTPS ne dispose pas de cette fonction. |
C | le protocole HTTPS dispose cette fonction. |
D | le protocole HTTP dispose cette fonction. |
Question 9 |
Pour désactiver l’interprétation de caractères spéciaux dans une page PHP
A | Entre double quotes (" " ") |
B | Entre simple quotes (" ‘ ") |
Question 10 |
L'Injection LDAP : injecte
A | les instructions LDAP (Lightweight Directory Access Protocol) pour exécuter des commandes LDAP, y compris l’octroi d’autorisations et la modification du contenu d’un arbre LDAP. Impact : contournement d’authentification, escalade des privilèges de divulgation d’information. |
B | dans l’en-tête HTTP de l’hôte pour empoisonner la fonctionnalité de réinitialisation du mot de passe et le cache Web parfois toxique. |
C | JavaScript arbitraire dans un site Web ou une application Web qui est ensuite exécuté dans le navigateur d’une victime. Impact : Imputation de compte, dégradation. |
D | une séquence de caractères CRLF (Carriage Return and Line Feed) imprévue utilisée pour diviser une en-tête de réponse HTTP et écrire des contenus arbitraires dans le corps de la réponse. Impact : Cross-site Scripting (XSS) |
Question 11 |
Le Host header injection : injecte un code
A | les instructions IMAP / SMTP vers un serveur de messagerie qui n’est pas directement disponible via une application Web. Impact : Relais de spam, divulgation d’information. |
B | une séquence de caractères CRLF (Carriage Return and Line Feed) imprévue utilisée pour diviser une en-tête de réponse HTTP et écrire des contenus arbitraires dans le corps de la réponse. Impact : Cross-site Scripting (XSS) |
C | JavaScript arbitraire dans un site Web ou une application Web qui est ensuite exécuté dans le navigateur d’une victime. Impact : Imputation de compte, dégradation. |
D | dans l’en-tête HTTP de l’hôte pour empoisonner la fonctionnalité de réinitialisation du mot de passe et le cache Web parfois toxique. |
Question 12 |
il est possible d’établir une connexion HTTP asynchrone entre le navigateur web et un serveur web en JavaScript, grâce à l’objet
A | XMLHttpRequet. |
B | HTMLHttpRequest. |
C | HTMLHttpRequet. |
D | XMLHttpRequest. |
Question 13 |
Injection CRLF : injecte
A | dans l’en-tête HTTP de l’hôte pour empoisonner la fonctionnalité de réinitialisation du mot de passe et le cache Web parfois toxique. |
B | une séquence de caractères CRLF (Carriage Return and Line Feed) imprévue utilisée pour diviser une en-tête de réponse HTTP et écrire des contenus arbitraires dans le corps de la réponse. Impact : Cross-site Scripting (XSS) |
C | JavaScript arbitraire dans un site Web ou une application Web qui est ensuite exécuté dans le navigateur d’une victime. Impact : Imputation de compte, dégradation. |
D | les instructions IMAP / SMTP vers un serveur de messagerie qui n’est pas directement disponible via une application Web. Impact : Relais de spam, divulgation d’information. |
Question 14 |
Le WASC établie dans son rapport "WASC Threat Classification " une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport. (cocher la réponse fausse)
A | La catégorie "exécution de commandes " englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web. |
B | La catégorie "synchronisation" couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application. |
C | La catégorie "attaques côté client" rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application. |
D | La catégorie "révélation d’informations " définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. |
E | La catégorie " authentification " regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application. |
F | La catégorie "attaques logiques " caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles. |
Question 15 |
Lequel des services suivants doit être désactivé pour empêcher les hackers d'utiliser un serveur Web comme un relais de messagerie ?
A | POP3
|
B | SNMP
|
C | IMAP |
D | SMTP
|
Question 16 |
Quel protocole d'authentification peut être sécurisé à l'aide de protocole SSL ?
A | Raduis.
|
B | Kerberos.
|
C | TACACS+ |
D | LDAP.
|
Question 17 |
Pour empêcher les attaques par injection et les attaques XSS, il faut configurer une application en partant du principe que toutes les données, qu'elles proviennent d'un formulaire, d'une URL, d'un cookie voire de la base de données de l'application, proviennent d'une source
A | peut être fiable |
B | non fiable. |
C | très fiable. |
D | fiable. |
Question 18 |
La fonction
htmlentities() (plus qu'une réponses justes)A | htmlentities() est une fonction similaire de la fonction htmlspecialchars() |
B | htmlentities() est une version moins complète de htmlspecialchars() |
C | Convertit tous les caractères éligibles en entités HTML |
D | est identique à la fonction htmlspecialchars(), sauf que tous les caractères qui ont des équivalents en entités HTML sont effectivement traduits. |
Question 19 |
Le WASC établie dans son rapport "WASC Threat Classification " une liste exhaustive des menaces qui pèsent sur la sécurité des applications Web. Elles sont regroupées dans six catégories définies dans la version 2004 de ce rapport. (cocher la réponse fausse)
A | La catégorie "attaques logiques " caractérise les attaques qui utilisent les processus applicatifs (système de changement de mot de passe, système de création de compte, …) à des fins hostiles. |
B | La catégorie "autorisation" couvre l’ensemble des attaques de sites Web dont la cible est le système de vérification des droits d’un utilisateur, d’un service ou d’une application pour effectuer une action dans l’application. |
C | La catégorie "attaques côté serveur" rassemble les attaques visant l’utilisateur pendant qu’il utilise l’application. |
D | La catégorie " authentification " regroupe les attaques de sites Web dont la cible est le système de validation de l’identité d’un utilisateur, d’un service ou d’une application. |
E | La catégorie "révélation d’informations " définit l’ensemble des attaques permettant de découvrir des informations ou des fonctionnalités cachées. |
F | La catégorie "exécution de commandes " englobe toutes les attaques qui permettent d’exécuter des commandes sur un des composants de l’architecture du site Web. |
Explication pour la question 19:
Attaque coté client et non serveur
Question 20 |
Cross-site Scripting (XSS) : injecte un code
A | les instructions IMAP / SMTP vers un serveur de messagerie qui n’est pas directement disponible via une application Web. Impact : Relais de spam, divulgation d’information. |
B | dans l’en-tête HTTP de l’hôte pour empoisonner la fonctionnalité de réinitialisation du mot de passe et le cache Web parfois toxique. |
C | une séquence de caractères CRLF (Carriage Return and Line Feed) imprévue utilisée pour diviser une en-tête de réponse HTTP et écrire des contenus arbitraires dans le corps de la réponse. Impact : Cross-site Scripting (XSS) |
D | JavaScript arbitraire dans un site Web ou une application Web qui est ensuite exécuté dans le navigateur d’une victime. Impact : Imputation de compte, dégradation. |
Une fois terminé, cliquez sur le bouton ci-dessous. Toutes les questions que vous n'avez pas complétées sont marquées comme incorrectes.
Obtenir les résultats
Il y a 20 questions à compléter.
← |
→ |
Vous avez complété
questions
question
Votre score est de
Correct
Faux
Réponse partielle
Vous n'avez pas fini votre quiz. Si vous quittez cette page, votre progression sera perdue.
Réponses correctes
Vous avez sélectionné
Pas essayer
Score final du quiz
Nombre de questions répondues de manière correcte
Nombre de questions répondues de manière incorrecte
Question non répondues
Nombre total de questions dans le quiz
Détail de la question
Résultats
Date
Score
Indice
Temps autorisé
minutes
secondes
Temps utilisé
Réponse(s) sélectionnée(s)
Texte de la question
Fini
Vous avez besoin de plus d'entraînement !
Persévérez !
Pas mal !
Bon travail !
Parfait !
Riadh HAJJI
You may also like
Techniques de cryptographie
12 août 2022
Qu’est-ce que la Cryptographie La Cryptographie : le chiffrement symétrique La Cryptographie : le chiffrement asymétrique Techniques de cryptographie Exercices Cryptographie Série 01 (Correction) Techniques de cryptographie Objectifs Découvrir les techniques de cryptographie Présentation La cryptologie et la stéganographie sont …
Exercices Cryptographie Série 01
11 août 2022
Qu’est-ce que la Cryptographie La Cryptographie : le chiffrement symétrique La Cryptographie : le chiffrement asymétrique Techniques de cryptographie Exercices Cryptographie Série 01 (Correction) Exercices Cryptographie Série 01 Rappel Le code de César est une permutation de lettre ou un …
Qu’est-ce que la Cryptographie
9 août 2022
Qu’est-ce que la Cryptographie La Cryptographie : le chiffrement symétrique La Cryptographie : le chiffrement asymétrique Techniques de cryptographie Exercices Cryptographie Série 01 (Correction) Qu’est-ce que la Cryptographie Objectifs Connaitre la Cryptographie Présentation L’objectif fondamental de la cryptographie est de …