SlideShare ist ein Scribd-Unternehmen logo
1 von 10
BGA STAJ OKULU
SINAV SORULARI
2018
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA STAJ OKULU 2018 SINAV SORULARI
Soru 1: Bir Linux web sunucusunda aşağıdaki komut ile ne yapılmak, nereye varılmak
istenmektedir?
cat access.log | grep -E “%27|--|union|select|from|or|@|version|char|varchar|exec
a) Veritabanı sorguları tek tek çalıştırılmaktadır.
b) Bir database(veritabanı) içerisinde arama işlemi yapılmak istenmektedir.
c) SQL Injection saldırıları tespit edilmek istenmektedir.
d) Cross-site scripting saldırıları tespit edilmek istenmektedir.
Soru 2: Linux sisteme bir saldırganın sızdıktan sonra; yaptığınız incelemede,
“.bash_history” dosyası içeriğinde aşağıdaki komutun çalıştırıldığı görülmektedir.
$ find / -user root -perm -4000 -exec ls -ldb {} ; >/tmp/files
Saldırganın bu komutu kullanmaki amacı nedir?
a) Root haklarıyla dosya çalıştırmak
b) Root’a ait dosyaları bulmak.
c) Setuid izinlerine sahip dosyaları bulmak.
d) /tmp altındaki dosya izinlerini değiştirmek
Soru 3: Aşağıdakilerden hangisi çerezlerde saklanmalıdır?
a) Oturum kimliği (Session ID)
b) Hesap Ayrıcalıkları (Account Privileges)
c) Kullanıcı adı
d) Parola
Soru 4: NSA, neden Edward Snowden'ın tüm belgeleri çalmadan ve sızdırmadan önce bir
güvenlik riski olduğunu anlayamamıştır?
....................................................................................................................................................
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 5: Aşağıdakilerden hangisi ikinci nesil programlama dilleri olarak kabul edilir?
a) Assembly
b) Machine
c) Very high-level
d) High-level
Soru 6: “Whitelist” veri doğrulama ne demektir?
a) Veri geçerli olduğu bilinen bir değerler listesine göre doğrulanır.
b) Veriler geçersiz olduğu bilinen bir değerler listesine göre doğrulanır.
c) Yukarıdakilerin ikisi de
d) Yukarıdakilerin hiçbiri
Soru 7: Buffer Overflow, Cross Site Scripting (XSS), SQL Injection gibi saldırılarının ortak
noktası nedir?
a) Kimlik doğrulama eksikliği
b) Beklenmeyen hata mesajı oluşması
c) Onaylanmamış girdi
d) Hatalı konfigürasyon yönetimi
Soru 8: Parola hashlerini kırmaya yönelik sözlük saldırılarına (dictionary attack) karşı nasıl
bir önlem alınır?
a) Parolayı iki kez hash algoritmasından geçirerek
b) Parolanın encrypt edilmesiyle
c) Kimsenin bilmediği kişisel bir şifreleme algoritması kullanarak
d) Hash Salting (Hash Tuzlama) yöntemi kullanarak
Soru 9: Web sunucusu bir GET isteğinin hangi bölümünü kaydeder?
a) Hidden tags
b) Query Strings
c) Header
d) Cookies
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 10: Samet, kullanıcı tarafındaki (client-side) orijinal Javascript kodu değiştirerek,
kullanıcı bilgilerini çalmak için zararlı bir kod oluşturmuştur. Samet bu işlem için ne tür bir
XSS güvenlik açığı kullanmaktadır.
a) DOM-based
b) Second order
c) Persisten
d) Nonpersistent
Soru 11: Aşağıdaki antivirüs algılama yöntemlerinden hangisi uygulama işletim sistemi
üzerinde çalışırken zararlı kodları izler ve en yeni teknolojileri kullanır?
a) Davranış engelleme (Behavior)
b) Parmak izi algılama (Fingerprint)
c) İmza tabanlı tespit (Signature-based)
d) Sezgisel algılama (Heuristic)
Soru 12: SOAP (Simple Object Access Protocol) ve RPC (Remote Call Procedure) hakkında
aşağıda verilen tanımlamalardan hangisi veya hangileri yanlıştır?
a) SOAP, RPC ile ilgili uyumluluk ve güvenlik sorunlarının üstesinden gelmek için
tasarlanmıştır.
b) Uygulama katmanı iletişimini sağlamak için SOAP ve RPC oluşturuldu.
c) SOAP, İnternet üzerinden uygulamalar arasında bilgi alışverişi için RPC'nin
kullanılmasını sağlar.
d) HTTP, RPC ile çalışmak üzere tasarlanmamıştır, ancak SOAP, HTTP ile çalışmak üzere
tasarlanmıştır.
Soru 13: Uygar, ağ trafiğini dinliyor ve kimlik doğrulama sunucusuna gönderilen parolaları
yakalıyor. Uygar buradan elde ettiği parolaları gelecekteki bir saldırının parçası olarak
kullanmayı planlıyor ise bu ne tür bir saldırıdır?
a) Brute-force
b) Dictionary attack
c) Social engineering
d) Replay attack
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 14: Tüm uygulamaların aynı güvenlik kurallarını izlediğinden emin olmak için
uygulama güvenliği politikalarının paylaşılmasına hangi etiketleme dili (markup language)
izin verir?
a) XML
b) GML
c) XACML
d) SPML
Soru 15: Birkaç çeşit IDS (Intrusion Detection System) vardır. Hangi tip IDS bir ortamın
normal aktivitelerinin profilini oluşturur ve profile göre paketlere bir anormal skor atar?
a) Protokol imza tabanlı
b) İstatistiksel anomali tabanlı
c) Durum tabanlı
d) Yanlış algılama sistemi
Soru 16: Aşağıdakilerden hangisi kural tabanlı bir IDS'in (Intrusion Detection System)
özelliğidir?
a) Gelişmiş sistemler ile IF / THEN programlama kullanır.
b) Ortak sınırlarının dışında kullanılan protokolleri tanımlar.
c) Paternleri çeşitli aktivitelerle karşılaştırır.
d) Yeni saldırıları tespit edebilir.
Soru 17: Web uygulamasında giriş doğrulamasında ……..….................... baz alınmalıdır.
Boşluğa gelecek uygun kelime hangisidir?
a) Whitelist
b) Blacklist
c) Whitebox
d) Blackbox
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 18: Web uygulamasında Cookie’nin Secure özelliği tanımlanmış ise aşağıdakilerden
hangisi veya hangileri doğrudur?
a) Cookie, Javascript tarafından erişilemez.
b) Cookie, domainler arasında gönderilmeyecek.
c) Kullanıcı (client), Cookie değerini yalnızca HTTPS bağlantı üzerinden gönderebilir.
d) Cookie, subdomainler üzerinde de kullanılabilir.
Soru 19: Clickjacking'i önlemek için aşağıdakilerden hangisi veya hangileri kullanılır?
a) HTTP Bağlantısı
b) HTTPS Bağlantısı
c) X-Frame-Options HTTP Başlığı
d) Content-Security-Policy HTTP Başlığı
Soru 20: Web sunucunuz güvenli (HTTPS) bağlantıları desteklemektedir. Tasarım gereği, bir
istemcinin yanlışlıkla güvenli olmayan HTTP bağlantısı üzerinden bir sayfa istemediğinden
emin olmanın en iyi yolu aşağıdakilerden hangisi veya hangileri olabilir?
a) Bağlantı noktası 443 için tüm istekleri 80 numaralı bağlantı noktasına yönlendirmek
b) Bağlantı noktası 80 için tüm istekleri 443 numaralı bağlantı noktasına yönlendirmek
c) Tamamen 80 numaralı bağlantı noktasını kapatmak
d) HTTP Strict-Transport-Security kullanmak
Soru 21: Bir web sunucusunda index.html, index.php, index.xml, index.pl dosyaları aynı
dizinde bulunmaktadır. Gönderilen url değiştirilmeden index.pl dosyasını nasıl
görebilirsiniz?
CEVAP: .........................................................................................................................
Soru 22: SQL injection saldırılarına karşı korumanın en etkili yolu ………………………….dır.
Boşluğa gelecek uygun cevap hangisidir?
a) Input değerlerinde "1 OR 1 = 1" ve "UNION" gibi ifadeleri kara listeye almak.
b) Saldırıları tespit etmek için bir saldırı tespit sistemi kullanmak.
c) Beyaz liste girişi (ör. Yalnızca alfasayısal karakterlere ve boşluklara izin verme).
d) Prepared statements veya parametreli sorguların kullanılması.
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 23: Cross Site Scriptting (XSS) güvenlik açıkları için aşağıdakilerden hangisi doğru
değildir?
a) Saldırgan, kullanıcının makinesinde rastgele kod çalıştırabilir.
b) Saldırgan, bir kullanıcının kimliğine bürünmek için bir XSS güvenlik açığından
yararlanabilir.
c) Reflected XSS zafiyeti, yalnızca kullanıcı belirli bir eylem gerçekleştirdiğinde
tetiklenebilir.
d) Kullanıcı, normalde güvendiği bir sayfada kendisini Reflected XSS'e karşı korumak için
hiçbir şey yapamaz.
Soru 24: HTML5 güvenliği hakkında aşağıdaki ifadelerden hangisi doğrudur?
a) HTML5'te, AJAX istekleri ile kısıtlama olmaksızın diğer domainlerden okuma işlemi
yapılabilir.
b) HTML5 özellikleri sayesinde, bir saldırgan ClickJacking aracılığıyla bir iframe'den veri
çalabilir.
c) Bir sayfada HTML5 tarafından sunulan yeni özellikleri kullanmamak, bu özelliklerin
getirdiği yeni güvenlik risklerine karşı korunmak için iyi bir yoldur.
d) HTML5, XSS'e karşı daha kolay koruma sağlar.
Soru 25: AJAX isteklerinde CSRF (Cross Site Request Forgery) saldırılarını önlemek için
aşağıdakilerden hangileri yapılabilir?
a) Yalnızca AJAX isteklerini gerçekleştirmesi beklenen siteden cross-origin isteklere izin
vermek için Access-Control-Allow-Origin başlığını eklemek.
b) GET yerine POST XmlHttpRequests kullanmak
c) AJAX isteklerini gerçekleştirmesi gereken siteye yalnızca XmlHttpRequests'e yanıt
dönmesi için yönlendirme denetimi kullanmak.
d) XmlHttpRequest verilerini XML yerine JSON biçiminde göndermek.
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 26: Aşağıdaki kod bloğu bir web projesinde kullanılmaktadır. Bu kod bloğunun
barındırdığı zafiyet, yapılan hata nedir ve bu tür bir hatayı önlemek için neler yapılmalıdır?
CEVAP: …………………………………………………………………………………………………………………….
Soru 27: Bir linux sistemde aşağıdaki komut çalıştırılmıştır. Bu komut ile ne amaçlanmak
istenmektedir?
$ journalctl -u 'systemd-logind' --since "today" --until "tomorrow"
a) Sunucunun kim tarafından kapatıldığı öğrenilmek istenmektedir.
b) Journalctl loglarını listelemektedir.
c) Son bir gün içerisinde sisteme yapılan girişleri listelemek istemektedir.
d) Son bir gün içerisindeki sistem loglarını silmek istemektedir.
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 28: Sistem yöneticisi sorumlu olduğu linux ağ geçidi üzerinde aşağıda belirtilen komut
ile aşağıdakilerden hangisi veya hangilerini gerçekleştirmeyi amaçlamaktadır?
ngrep –q –W byline -v ‘^GET|PUT|POST|HTTP/1.[01]‘ tcp port 80
a) Dnssec kullanımını aktif hale getirmek.
b) IP Spoofing işlemini tespit etmeye çalışmak.
c) 80/tcp portu icin HTTP protokol anormalliğini tespit etmeye çalışmak.
d) 443/tcp portundan SSH kullanımı yasaklamak.
e) 80/tcp portuna gerçekleştirilecek olan port taramalarını tespit etmek.
Soru 29: Linux tabanlı bir sistem üzerinde aşağıdaki gibi bir durum mevcuttur.
-r-------- 1 root root 56112 May 12 2017 /bin/chmod
---------- 1 user user 92189 Jan 17 2017 /home/user/questions.txt
Yukarıdaki duruma göre questions.txt dosyasının içini okumak isteyen root kullanıcısı ne
yapabilir?
CEVAP: .....................................................................................................................................
Soru 30: Ağı dinleyen sistem yöneticisi aşağıda görülen mesajı yakalamıştır. İletilmek
istenen mesaj nedir?
01100001010101110011010101101111010010010100100001110000011010000110000101
00100001000101011001110110010000110011011011000011001001100010011011100110
11000110111101100100010010000100000100111101
CEVAP: ....................................................................................................................................
[BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.

Weitere ähnliche Inhalte

Mehr von BGA Cyber Security

DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziBGA Cyber Security
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerBGA Cyber Security
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıBGA Cyber Security
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri BGA Cyber Security
 

Mehr von BGA Cyber Security (20)

DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I:  Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
 
Microsoft Azure Sentinel
Microsoft Azure SentinelMicrosoft Azure Sentinel
Microsoft Azure Sentinel
 

BGA Staj Okulu Sınav Soruları 2018

  • 1. BGA STAJ OKULU SINAV SORULARI 2018
  • 2. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA STAJ OKULU 2018 SINAV SORULARI Soru 1: Bir Linux web sunucusunda aşağıdaki komut ile ne yapılmak, nereye varılmak istenmektedir? cat access.log | grep -E “%27|--|union|select|from|or|@|version|char|varchar|exec a) Veritabanı sorguları tek tek çalıştırılmaktadır. b) Bir database(veritabanı) içerisinde arama işlemi yapılmak istenmektedir. c) SQL Injection saldırıları tespit edilmek istenmektedir. d) Cross-site scripting saldırıları tespit edilmek istenmektedir. Soru 2: Linux sisteme bir saldırganın sızdıktan sonra; yaptığınız incelemede, “.bash_history” dosyası içeriğinde aşağıdaki komutun çalıştırıldığı görülmektedir. $ find / -user root -perm -4000 -exec ls -ldb {} ; >/tmp/files Saldırganın bu komutu kullanmaki amacı nedir? a) Root haklarıyla dosya çalıştırmak b) Root’a ait dosyaları bulmak. c) Setuid izinlerine sahip dosyaları bulmak. d) /tmp altındaki dosya izinlerini değiştirmek Soru 3: Aşağıdakilerden hangisi çerezlerde saklanmalıdır? a) Oturum kimliği (Session ID) b) Hesap Ayrıcalıkları (Account Privileges) c) Kullanıcı adı d) Parola Soru 4: NSA, neden Edward Snowden'ın tüm belgeleri çalmadan ve sızdırmadan önce bir güvenlik riski olduğunu anlayamamıştır? ....................................................................................................................................................
  • 3. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 5: Aşağıdakilerden hangisi ikinci nesil programlama dilleri olarak kabul edilir? a) Assembly b) Machine c) Very high-level d) High-level Soru 6: “Whitelist” veri doğrulama ne demektir? a) Veri geçerli olduğu bilinen bir değerler listesine göre doğrulanır. b) Veriler geçersiz olduğu bilinen bir değerler listesine göre doğrulanır. c) Yukarıdakilerin ikisi de d) Yukarıdakilerin hiçbiri Soru 7: Buffer Overflow, Cross Site Scripting (XSS), SQL Injection gibi saldırılarının ortak noktası nedir? a) Kimlik doğrulama eksikliği b) Beklenmeyen hata mesajı oluşması c) Onaylanmamış girdi d) Hatalı konfigürasyon yönetimi Soru 8: Parola hashlerini kırmaya yönelik sözlük saldırılarına (dictionary attack) karşı nasıl bir önlem alınır? a) Parolayı iki kez hash algoritmasından geçirerek b) Parolanın encrypt edilmesiyle c) Kimsenin bilmediği kişisel bir şifreleme algoritması kullanarak d) Hash Salting (Hash Tuzlama) yöntemi kullanarak Soru 9: Web sunucusu bir GET isteğinin hangi bölümünü kaydeder? a) Hidden tags b) Query Strings c) Header d) Cookies
  • 4. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 10: Samet, kullanıcı tarafındaki (client-side) orijinal Javascript kodu değiştirerek, kullanıcı bilgilerini çalmak için zararlı bir kod oluşturmuştur. Samet bu işlem için ne tür bir XSS güvenlik açığı kullanmaktadır. a) DOM-based b) Second order c) Persisten d) Nonpersistent Soru 11: Aşağıdaki antivirüs algılama yöntemlerinden hangisi uygulama işletim sistemi üzerinde çalışırken zararlı kodları izler ve en yeni teknolojileri kullanır? a) Davranış engelleme (Behavior) b) Parmak izi algılama (Fingerprint) c) İmza tabanlı tespit (Signature-based) d) Sezgisel algılama (Heuristic) Soru 12: SOAP (Simple Object Access Protocol) ve RPC (Remote Call Procedure) hakkında aşağıda verilen tanımlamalardan hangisi veya hangileri yanlıştır? a) SOAP, RPC ile ilgili uyumluluk ve güvenlik sorunlarının üstesinden gelmek için tasarlanmıştır. b) Uygulama katmanı iletişimini sağlamak için SOAP ve RPC oluşturuldu. c) SOAP, İnternet üzerinden uygulamalar arasında bilgi alışverişi için RPC'nin kullanılmasını sağlar. d) HTTP, RPC ile çalışmak üzere tasarlanmamıştır, ancak SOAP, HTTP ile çalışmak üzere tasarlanmıştır. Soru 13: Uygar, ağ trafiğini dinliyor ve kimlik doğrulama sunucusuna gönderilen parolaları yakalıyor. Uygar buradan elde ettiği parolaları gelecekteki bir saldırının parçası olarak kullanmayı planlıyor ise bu ne tür bir saldırıdır? a) Brute-force b) Dictionary attack c) Social engineering d) Replay attack
  • 5. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 14: Tüm uygulamaların aynı güvenlik kurallarını izlediğinden emin olmak için uygulama güvenliği politikalarının paylaşılmasına hangi etiketleme dili (markup language) izin verir? a) XML b) GML c) XACML d) SPML Soru 15: Birkaç çeşit IDS (Intrusion Detection System) vardır. Hangi tip IDS bir ortamın normal aktivitelerinin profilini oluşturur ve profile göre paketlere bir anormal skor atar? a) Protokol imza tabanlı b) İstatistiksel anomali tabanlı c) Durum tabanlı d) Yanlış algılama sistemi Soru 16: Aşağıdakilerden hangisi kural tabanlı bir IDS'in (Intrusion Detection System) özelliğidir? a) Gelişmiş sistemler ile IF / THEN programlama kullanır. b) Ortak sınırlarının dışında kullanılan protokolleri tanımlar. c) Paternleri çeşitli aktivitelerle karşılaştırır. d) Yeni saldırıları tespit edebilir. Soru 17: Web uygulamasında giriş doğrulamasında ……..….................... baz alınmalıdır. Boşluğa gelecek uygun kelime hangisidir? a) Whitelist b) Blacklist c) Whitebox d) Blackbox
  • 6. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 18: Web uygulamasında Cookie’nin Secure özelliği tanımlanmış ise aşağıdakilerden hangisi veya hangileri doğrudur? a) Cookie, Javascript tarafından erişilemez. b) Cookie, domainler arasında gönderilmeyecek. c) Kullanıcı (client), Cookie değerini yalnızca HTTPS bağlantı üzerinden gönderebilir. d) Cookie, subdomainler üzerinde de kullanılabilir. Soru 19: Clickjacking'i önlemek için aşağıdakilerden hangisi veya hangileri kullanılır? a) HTTP Bağlantısı b) HTTPS Bağlantısı c) X-Frame-Options HTTP Başlığı d) Content-Security-Policy HTTP Başlığı Soru 20: Web sunucunuz güvenli (HTTPS) bağlantıları desteklemektedir. Tasarım gereği, bir istemcinin yanlışlıkla güvenli olmayan HTTP bağlantısı üzerinden bir sayfa istemediğinden emin olmanın en iyi yolu aşağıdakilerden hangisi veya hangileri olabilir? a) Bağlantı noktası 443 için tüm istekleri 80 numaralı bağlantı noktasına yönlendirmek b) Bağlantı noktası 80 için tüm istekleri 443 numaralı bağlantı noktasına yönlendirmek c) Tamamen 80 numaralı bağlantı noktasını kapatmak d) HTTP Strict-Transport-Security kullanmak Soru 21: Bir web sunucusunda index.html, index.php, index.xml, index.pl dosyaları aynı dizinde bulunmaktadır. Gönderilen url değiştirilmeden index.pl dosyasını nasıl görebilirsiniz? CEVAP: ......................................................................................................................... Soru 22: SQL injection saldırılarına karşı korumanın en etkili yolu ………………………….dır. Boşluğa gelecek uygun cevap hangisidir? a) Input değerlerinde "1 OR 1 = 1" ve "UNION" gibi ifadeleri kara listeye almak. b) Saldırıları tespit etmek için bir saldırı tespit sistemi kullanmak. c) Beyaz liste girişi (ör. Yalnızca alfasayısal karakterlere ve boşluklara izin verme). d) Prepared statements veya parametreli sorguların kullanılması.
  • 7. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 23: Cross Site Scriptting (XSS) güvenlik açıkları için aşağıdakilerden hangisi doğru değildir? a) Saldırgan, kullanıcının makinesinde rastgele kod çalıştırabilir. b) Saldırgan, bir kullanıcının kimliğine bürünmek için bir XSS güvenlik açığından yararlanabilir. c) Reflected XSS zafiyeti, yalnızca kullanıcı belirli bir eylem gerçekleştirdiğinde tetiklenebilir. d) Kullanıcı, normalde güvendiği bir sayfada kendisini Reflected XSS'e karşı korumak için hiçbir şey yapamaz. Soru 24: HTML5 güvenliği hakkında aşağıdaki ifadelerden hangisi doğrudur? a) HTML5'te, AJAX istekleri ile kısıtlama olmaksızın diğer domainlerden okuma işlemi yapılabilir. b) HTML5 özellikleri sayesinde, bir saldırgan ClickJacking aracılığıyla bir iframe'den veri çalabilir. c) Bir sayfada HTML5 tarafından sunulan yeni özellikleri kullanmamak, bu özelliklerin getirdiği yeni güvenlik risklerine karşı korunmak için iyi bir yoldur. d) HTML5, XSS'e karşı daha kolay koruma sağlar. Soru 25: AJAX isteklerinde CSRF (Cross Site Request Forgery) saldırılarını önlemek için aşağıdakilerden hangileri yapılabilir? a) Yalnızca AJAX isteklerini gerçekleştirmesi beklenen siteden cross-origin isteklere izin vermek için Access-Control-Allow-Origin başlığını eklemek. b) GET yerine POST XmlHttpRequests kullanmak c) AJAX isteklerini gerçekleştirmesi gereken siteye yalnızca XmlHttpRequests'e yanıt dönmesi için yönlendirme denetimi kullanmak. d) XmlHttpRequest verilerini XML yerine JSON biçiminde göndermek.
  • 8. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 26: Aşağıdaki kod bloğu bir web projesinde kullanılmaktadır. Bu kod bloğunun barındırdığı zafiyet, yapılan hata nedir ve bu tür bir hatayı önlemek için neler yapılmalıdır? CEVAP: ……………………………………………………………………………………………………………………. Soru 27: Bir linux sistemde aşağıdaki komut çalıştırılmıştır. Bu komut ile ne amaçlanmak istenmektedir? $ journalctl -u 'systemd-logind' --since "today" --until "tomorrow" a) Sunucunun kim tarafından kapatıldığı öğrenilmek istenmektedir. b) Journalctl loglarını listelemektedir. c) Son bir gün içerisinde sisteme yapılan girişleri listelemek istemektedir. d) Son bir gün içerisindeki sistem loglarını silmek istemektedir.
  • 9. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Soru 28: Sistem yöneticisi sorumlu olduğu linux ağ geçidi üzerinde aşağıda belirtilen komut ile aşağıdakilerden hangisi veya hangilerini gerçekleştirmeyi amaçlamaktadır? ngrep –q –W byline -v ‘^GET|PUT|POST|HTTP/1.[01]‘ tcp port 80 a) Dnssec kullanımını aktif hale getirmek. b) IP Spoofing işlemini tespit etmeye çalışmak. c) 80/tcp portu icin HTTP protokol anormalliğini tespit etmeye çalışmak. d) 443/tcp portundan SSH kullanımı yasaklamak. e) 80/tcp portuna gerçekleştirilecek olan port taramalarını tespit etmek. Soru 29: Linux tabanlı bir sistem üzerinde aşağıdaki gibi bir durum mevcuttur. -r-------- 1 root root 56112 May 12 2017 /bin/chmod ---------- 1 user user 92189 Jan 17 2017 /home/user/questions.txt Yukarıdaki duruma göre questions.txt dosyasının içini okumak isteyen root kullanıcısı ne yapabilir? CEVAP: ..................................................................................................................................... Soru 30: Ağı dinleyen sistem yöneticisi aşağıda görülen mesajı yakalamıştır. İletilmek istenen mesaj nedir? 01100001010101110011010101101111010010010100100001110000011010000110000101 00100001000101011001110110010000110011011011000011001001100010011011100110 11000110111101100100010010000100000100111101 CEVAP: ....................................................................................................................................
  • 10. [BGA STAJ OKULU 2018 SINAV SORULARI] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.