Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Cybersecurity > Testen mit dem OWASP Testing Guide (Teil 2) > Flashcards

Testen mit dem OWASP Testing Guide (Teil 2) Flashcards

1
Q

Was sind best Praktises für die Plattform Integration?

A

Anwendung fordert nur Minimum an Berechtigungen an

Nutzereingaben und Eingaben von externen Quellen/Schnittstellen werden validiert

Anwendung nutzt ausschließlich sichere Implementierungen für die Interprozesskommunikation mit anderen Anwendungen

Anwendung exportiert sensitive Daten über URL Schemata nur bei ausreichender Sicherung

WebViews werden so konfiguriert, dass keine kritischen Handler (z.B. tel://, file://) aufgerufen werden dürfen

Anwendung nutzt eine sichere Serialisierung

Anwendung erkennt Ausführung auf einem Gerät mit Root-Berechtigung (Jailbreak Detection)

Anwendung erfordert ein aktuelles Betriebssystem

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Was sind Aspekte für gute Codequalität?

A

Debugging Code wurde entfernt

Anwendung protokolliert Nachrichten ohne Debuginformationen

Anwendung behandelt alle möglichen Exceptions

Quelltext enthält keine sensitiven Daten
Z.B. keine festcodierten Zugangspasswörter für Datenbanken

Fehlerbehandlung in Sicherheitsmechanismen verweigert den Zugriff standardmäßig

Es soll sichergestellt werden, dass der Speicher bei nicht verwaltetem Code sicher verwaltet wird

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Nenne und erkläre kurz die einzelnen Phasen der Bedrohungs- und Risikoanalyse

A
  1. Phase: Werte und Akteure identifizieren
  2. Phase: Überblick Architektur
  3. Phase: System zerteilen
    (Datenhaltung entlang der Vertrauensgrenzen in Einzelteile zerteilen)
  4. Phase: Bedrohungen identifizieren und dokumentieren
    (Ziel: möglichst viele Bedrohungen identifizieren)
  5. Phase: Bedrohungen bewerten
    (Ziel: sich gegen wichtige und kritische Bedrohungen schützen)
  6. Phase: Gegenmaßnahmen planen
    (Entscheidung, gegen welche Angriffe man schützen möchte)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Nenne die STRIDE-Klassifikation von Angriffen

A

Spoofing: Erschleichen einer Identität, oft für folgenden Angriff benutzt

Tampering: Verändern von Informationen

Repudiation: Abstreiten durchgeführte Aktion
Information

Disclosure: Veröffentlichen von Informationen

Denial of Service: Angriff auf Verfügbarkeit

Elevation of Privilege: Verschaffen von zusätzlichen Rechten

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Was macht die Datenflussanalyse?

A

Datenflüsse zwischen externen Akteuren und Benutzern, aktiven Systemkompo-nenten und passiven Ressourcen darstellen

Vertrauensgrenzen darstellen

Ermöglicht strukturierte Identifizierung von Bedrohungen

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Wie arbeitet das OWASP Risk Rating?

A

Vier Themengruppen

  • Threat Agent
  • Vulnerability
  • Technical Impact
  • Business Impact

Pro Themengruppe 4 Faktoren

Bewertung jedes Faktors zwischen 0 und 9
Wert 0: bester Wert für System
Wert 9: schlechtester Wert für System (Worst Case)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

Cybersecurity (9 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions