Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

OWASP TOP 10 2021 German > Probeprüfung - Technik, Recht, Managemnt > Flashcards

Probeprüfung - Technik, Recht, Managemnt Flashcards

1
Q

Aufgabe 1 (Modul Technik, Fach «Grundlagen Computer-Security»)

Ein IT-Verantwortlicher möchte vor dem Kauf der nächsten Drucker die Sicherheit der Geräte im Voraus evaluieren. Er entschliesst sich, seine Entscheidung auf «Common Criteria» zu basieren und möchte die Zertifizierungsreporte und Security Targets auf dem Portal studieren, um sicher zu gehen, dass die ange-schafften Geräte auch wirklich sicher sind.

Wie beurteilen Sie die Massnahme in Bezug auf das Ziel des IT-Verantwortlichen? Begründen Sie Ihre Antwort!

A

Grundsätzlich ist es eine gute Massnahme, so kann man mal die grundsicherheit anhand eines Standardisierten Verfahrens vergleichen. Achtung CC bietet nur Standardtisierte Szenarien, welche geprüft werden, diese müssen jedoch nicht unbedingt bei allen Verglichenen gleich sein.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Aufgabe 2 (Modul Technik, Fach «Zertifikatsbasierende Anwendungen und PK

Asymmetrische Schlüsselpaare können auf Smart-Cards berechnet werden. Technisch ist es dabei möglich sicherzustellen, dass der private Schlüssel nicht aus der Karte ausgelesen werden kann. Der private Schlüs-sel existiert in diesem Fall also ausschliesslich auf der Karte selber. Beantworten Sie zu diesem Szenario die folgenden Fragen:
Für welche kryptografischen Operationen (Verschlüsseln oder Signieren) sollten Sie das dem beschriebe-nen Szenario zugrundeliegende Schlüsselpaar nicht verwenden? Begründen Sie Ihre Antwort.

A

Für das Entschlüsseln sollte dies nicht verwendet werden. Dies aufgrund der Tatsache, dass die Smart-Card verloren gehen kann und die Daten somit nicht mehr entschlüsselt werden können. Wenn mal ein Betriebssystem kommt, mit welchem die Smartcard nicht mehr kompatibel wäre, so können die Daten auch nicht mehr entschlüsselt werden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Aufgabe 3 (Modul Technik, Fach «Hacking # Cracking # Malware»)

Definieren Sie einen Denial of Service-Angriff und beschreiben Sie kurz zwei Techniken, wie ein solcher konkret durchgeführt werden kann.

A
  1. Flooding-Angriff (z. B. SYN-Flooding)
    Es wird eine grosse Anzahl von Anfragen an den Server gestellt, jedoch nicht abgeschlossen. Die Ressourcen des Servers bleiben so Reserviert und werden nicht mehr freigegeben, was zur Überlastung und zur Blockierung der Dienste führt.
  2. Amplification-Angriff (z. B. DNS Amplification)
    Es werden gefällschte Nachrichten z.B. an DNS Server gesendet, dieser Antwortet an die gefällschte IP, da die Antwortpakete viel grösser sind, kann die Überlastung beim Ziel schneller herbei geführt werden.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Aufgabe 4 (Modul Technik, Fach «Web Application Security / OWASP TOP 10»

XML External Entity Attack:
Der Glocken-Shop im Hacking-Lab hat eine XMLSuche mit einer XML External Entity Schwachstelle

Erklären Sie bitte die XXE Attacke anhand des Beispiels im Glocken Shop.

A

Mit einem Präparierten XML File wurde der Server aufgefordert die Daten aus der Datei user.json anzuzeigen. Da die interpretation von externen XML Daten zulässt, konnten so die Zugangsdaten offengelegt werden.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Aufgabe 4 (Modul Technik, Fach «Web Application Security / OWASP TOP 10»

Was kann ein Hacker mittels XXE auf einem Server anstellen? Bitte schreiben Sie zu allen 4 Punkten eine kleine Begründung.
* Daten vom Server lesen? (Ja/Nein, Begründung)
* Daten vom Server ändern? (Ja/Nein, Begründung)
* Daten auf den Server kopieren? (Ja/Nein, Begründung)
* RCE (Remote Command Exec) (Ja/Nein, Begründung)

A
  • Daten vom Server lesen? Ja, durch angaben von anderen Dateien
  • Daten vom Server ändern? Ja
  • Daten auf den Server kopieren? Ja
  • RCE (Remote Command Exec) Ja
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Aufgabe 4 (Modul Technik, Fach «Web Application Security / OWASP TOP 10»

Wie kann der Entwickler die XXE Schwachstelle im Source Code schliessen?

A

Ein Entwickler kann die XXE-Schwachstelle (XML External Entity Attack) schließen, indem er sicherstellt, dass der XML-Parser keine externen Entitäten verarbeitet. Die genaue Vorgehensweise hängt von der verwendeten Programmiersprache und Bibliothek ab

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Aufgabe 5 (Modul Technik, Fach «IT-Sicherheitsarchitektur»)

Die «Innova AG» möchte einen Webshop betreiben. Sie werden als IT-Sicherheitsarchitekt hinzugezogen, um dem Projekt Möglichkeiten aufzuzeigen, wie der Webshop sicher gestaltet werden kann. Zeigen Sie 4 Möglichkeiten auf und begründen Sie diese kurz. (Je ein Punkt für die Nennung einer Möglichkeit und ein Punkt für die Begründung.)
Hinweis: Bezüglich Unternehmen (Branche, Geschäftstätigkeit) und Webshop (Architektur, Implementie-rung, Funktionsumfang, Betrieb) können Sie Annahmen treffen.

A

Gehe von einem klassischen Detailhänder wie Digitec aus.
1. Application Firewall, um die Zugrifef auf erlaubte Ports, Protokolle, Applikationen und Dienste zu beschränken und so die Angriffsvektoren von aussen zu minimimieren.
2. Load Balancing
Um DDoS Attacken zu erschweren.
3. Es wird eimpfohlen eine Shop-Software, welche nach dem Prinzip von Secure by Design entworfen wurde, welche auch schon entsprechende Tests über sich ergehen lassen hat.
4. Jährliches Pen-Testing
So wird sichergestellt, dass sich auch nicht während des Betriebes Fehler einschleichen könne, welche von Aussen ausgenutzt werden können.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Aufgabe 6 (Modul Technik, Fach «Physische Sicherheit / Grundlagen Brands

Welche Aussage bezieht sich auf eine Risikoanalyse? (Nur eine Antwort richtig.)
□ Grundlage für die Kostenschätzung
□ Aufzeigen von Sicherheits-Schwachstellen
□ Grundlage für die Planung der Sicherheitsmassnahmen und zur Bestimmung von deren Prioritäten
□ Basis für die Planung der technischen Massnahmen

A

Eine Risikoanalyse identifiziert und bewertet Sicherheitsrisiken, um darauf basierend geeignete Sicherheitsmaßnahmen zu planen und deren Prioritäten festzulegen. Sie hilft dabei, gezielt Maßnahmen zu ergreifen, um die größten Risiken zu minimieren.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Aufgabe 7 (Modul Recht, Fach «Rechtsaspekte für Systemverantwortliche»)

Daniel Peter arbeitet im Spital Zug. Im Rahmen einer Sensibilisierungskampagne sollen alle Mitarbeiten-den (ca. 2’000) angeschrieben werden. Dabei möchte er auch Fotos aus dem Internet nutzen. Nun ist er unsicher, ob er diese Fotos einfach so nutzen darf und bittet Sie um Ihre Meinung.
Da er die Fotos sehr gut findet, möchte er diese auch für interne und externe Schulungen nutzen. Er fragt auch in dieser Hinsicht, was Sie meinen.
Bitte nennen Sie die relevanten Gesetzesartikel und begründen Sie Ihre Antworten.

A

Art. 10 URG (Urheberrechtsgesetz, Schweiz) – Schutz des Urhebers
Art. 19 URG – Erlaubte Privatnutzung

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

OWASP TOP 10 2021 German (7 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions