15 câu hỏi0s
1
Một sàn thương mại điện tử có sự cố: hacker thay đổi giá sản phẩm từ 10,000,000 VND thành 100 VND trong vài phút trước khi bị phát hiện. Đây là vi phạm trụ cột nào của CIA triad?
2
Trong STRIDE framework, một user thường gửi request
PATCH /api/users/me { "role": "admin" } và backend chấp nhận update field role từ user input. Đây là threat loại nào?3
Chọn nhiều đáp án
"Principle of Least Privilege" được áp dụng đúng nhất ở scenario nào dưới đây?
4
OWASP Top 10 2021 category nào lên vị trí #1 và chiếm tỉ lệ exploit cao nhất theo dữ liệu thực tế từ bug bounty?
5
Category nào trong OWASP Top 10 2021 là mới so với phiên bản 2017?
6
Webhook receive payload từ third-party nhưng không verify HMAC signature. Lỗ hổng này thuộc category nào của OWASP Top 10 2021?
7
Code React sau có lỗ hổng gì?
function Comment({ html }) { return <div dangerouslySetInnerHTML={{ __html: html }} />; }
8
Chọn nhiều đáp án
Header CSP nào dưới đây có giá trị bảo mật thấp nhất chống XSS?
9
Chọn nhiều đáp án
Bạn dùng
SameSite=Lax cho cookie session. Endpoint nào dưới đây vẫn có nguy cơ CSRF?10
Chọn nhiều đáp án
Code Node.js sau có an toàn không?
const sql = `SELECT * FROM users WHERE id = ${parseInt(req.params.id)}`; db.query(sql);
11
Chọn nhiều đáp án
EC2 instance dùng IMDSv1, app có lỗ hổng SSRF cho phép fetch URL tuỳ ý. Attacker khai thác như thế nào?
12
Endpoint
GET /api/invoices/:id/pdf có middleware verify JWT. User A login, đổi :id trong URL thành ID invoice của User B → download được. Đây là lỗ hổng gì?13
Chọn nhiều đáp án
Header nào dưới đây giúp chống clickjacking?
14
Chọn nhiều đáp án
Bạn load jQuery từ
https://cdn.example.com/jquery.js. Để bảo vệ trường hợp CDN bị hack và file bị thay đổi, bạn nên dùng:15
Chọn nhiều đáp án
HSTS header
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload có nghĩa gì?