Русский 
中国 
English 
Deutsch 
Français 
Охотник за ошибками (баг-хантер)
Формат обучения:
Онлайн-курс с элементами практического обучения:
Лекции (видео и текстовые материалы).
Практические задания для закрепления знаний.
Работа с реальными примерами программного обеспечения и систем.
Интерактивные вебинары:
Обсуждение сложных случаев, разбор ошибок.
Вопросы-ответы с преподавателями.
Доступ к учебной платформе:
Тестирование на специально подготовленных "уязвимых" приложениях.
Доступ к инструментам для анализа и поиска багов.
Продолжительность курса: 8 недель (40 академических часов) .
Итоговый проект:
"Поиск и документирование уязвимостей в тестовом приложении"
Студент получает доступ к специально созданному тестовому приложению, содержащему как функциональные, так и безопасностные ошибки. Задача:
Выявить все возможные уязвимости (функциональные и связанные с безопасностью).
Описать их в формате отчета об ошибке (bug report).
Предложить рекомендации по их устранению.
Проект оценивается по следующим критериям:
Количество найденных уязвимостей.
Качество и полнота описания ошибок.
Аргументированность предложенных решений.
По окончании обучения студент должен знать:
Основы работы программного обеспечения и принципы его функционирования.
Типы ошибок (багов) и уязвимостей в ПО.
Методологии тестирования программного обеспечения (ручное и автоматизированное тестирование).
Основные стандарты и методики анализа безопасности (OWASP Top 10, CVE).
Инструменты для поиска уязвимостей (например, Burp Suite, OWASP ZAP, Nessus).
Правила составления корректного bug report.
Этические нормы и правовые аспекты работы с уязвимостями.
Программа курса:
Модуль 1: Введение в профессию баг-хантера
Что такое баг-хантинг и почему это важно.
Типы ошибок: функциональные, юзабилити, производительности, безопасности.
Этика и правовые аспекты работы с уязвимостями.
Модуль 2: Основы тестирования ПО
Методологии тестирования: ручное и автоматизированное.
Жизненный цикл разработки ПО и этапы тестирования.
Типы тестов: unit, integration, regression, smoke, stress.
Модуль 3: Поиск функциональных ошибок
Как анализировать требования и документацию.
Методы поиска ошибок в пользовательском интерфейсе и бизнес-логике.
Практическая работа: тестирование веб-приложений.
Модуль 4: Безопасность и уязвимости
Основы кибербезопасности.
OWASP Top 10: наиболее распространенные уязвимости.
SQL-инъекции, XSS, CSRF, IDOR и другие типы атак.
Модуль 5: Инструменты для анализа уязвимостей
Знакомство с инструментами: Burp Suite, OWASP ZAP, Nessus.
Настройка и использование инструментов для анализа безопасности.
Модуль 6: Составление bug report
Структура и содержание отчета об ошибке.
Как правильно описать шаги воспроизведения, влияние и серьезность ошибки.
Модуль 7: Практический опыт
Работа с тестовыми приложениями.
Поиск ошибок и составление отчетов.
Модуль 8: Итоговый проект
Поиск и документирование уязвимостей в тестовом приложении.
Защита проекта и обратная связь от преподавателей.
По окончании обучения студент должен знать:
Основы работы программного обеспечения и принципы его функционирования.
Типы ошибок (багов) и уязвимостей в ПО.
Методологии тестирования программного обеспечения (ручное и автоматизированное тестирование).
Основные стандарты и методики анализа безопасности (OWASP Top 10, CVE).
Инструменты для поиска уязвимостей (например, Burp Suite, OWASP ZAP, Nessus).
Правила составления корректного bug report.
Этические нормы и правовые аспекты работы с уязвимостями.
По окончании обучения студент должен уметь:
Анализировать программное обеспечение на предмет наличия ошибок и уязвимостей.
Использовать инструменты для автоматизированного сканирования уязвимостей.
Вручную находить ошибки в интерфейсе, логике и безопасности приложений.
Составлять подробные и понятные отчеты об ошибках (bug reports).
Предлагать решения для устранения выявленных проблем.
Работать с документацией и руководствами по использованию инструментов.
Интерпретировать результаты анализа безопасности и предоставлять рекомендации разработчикам.Курс является отличной стартовой площадкой для тех, кто хочет войти в мир тестирования и анализа безопасности. Он сочетает теорию, практику и реальные кейсы, что позволяет студентам сразу применять полученные знания на практике. По окончании курса выпускники будут готовы к работе в IT-компаниях или участиям в bug bounty программах.
Дополнительные материалы:
Рекомендуемая литература:
"Lessons Learned in Software Testing" — Cem Kaner, James Bach, Bret Pettichord.
"The Web Application Hacker's Handbook" — Dafydd Stuttard, Marcus Pinto.
"OWASP Testing Guide" (онлайн-ресурс).
"Bug Bounty Bootcamp" — Vickie Li.
Видеоуроки и онлайн-ресурсы:
Видеоуроки на платформах YouTube (например, каналы "LiveOverflow", "STÖK").
OWASP YouTube Channel с лекциями и практическими примерами.
Оценка курса:
Курс оценивается по следующим критериям:
Теоретическая часть (30%):
Тестирование знаний через промежуточные тесты после каждого модуля.
Оценка понимания основных концепций, методологий и стандартов.
Практическая часть (50%):
Выполнение практических заданий на каждом этапе курса.
Анализ работы с инструментами и тестовыми приложениями.
Качество составленных bug reports.
Итоговый проект (20%):
Полный анализ тестового приложения.
Найденные уязвимости, качество описания и предложенные решения.
Итог:
Курс "Охотник за ошибками (баг-хантер)" предоставляет студентам комплексное понимание процессов поиска и устранения уязвимостей в программном обеспечении. После завершения обучения студенты получают:
Теоретические знания:
Понимание типов ошибок и уязвимостей.
Знание методологий тестирования и анализа безопасности.
Практические навыки:
Умение использовать инструменты для анализа уязвимостей.
Способность находить и документировать ошибки.
Профессиональные компетенции:
Навыки работы в команде и общения с разработчиками.
Этический подход к поиску и устранению уязвимостей.
Перспективы трудоустройства:
Возможность начать карьеру в качестве junior bug hunter, тестировщика или специалиста по безопасности.
Доступ к платформам bug bounty для монетизации навыков.
Заключение:
По окончании обучения студент должен уметь:
Анализировать программное обеспечение на предмет наличия ошибок и уязвимостей.
Использовать инструменты для автоматизированного сканирования уязвимостей.
Вручную находить ошибки в интерфейсе, логике и безопасности приложений.
Составлять подробные и понятные отчеты об ошибках (bug reports).
Предлагать решения для устранения выявленных проблем.
Работать с документацией и руководствами по использованию инструментов.
Интерпретировать результаты анализа безопасности и предоставлять рекомендации разработчикам.Курс является отличной стартовой площадкой для тех, кто хочет войти в мир тестирования и анализа безопасности. Он сочетает теорию, практику и реальные кейсы, что позволяет студентам сразу применять полученные знания на практике. По окончании курса выпускники будут готовы к работе в IT-компаниях или участиям в bug bounty программах.
Экзаменационные билеты для курса "Охотник за ошибками (баг-хантер)"
Билет №1
1. Теоретический вопрос:
Что такое SQL-инъекция?
Ответ:
SQL-инъекция — это уязвимость, позволяющая злоумышленнику внедрить вредоносный SQL-код в запросы к базе данных через пользовательский ввод.
2. Теоретический вопрос:
Что такое XSS?
Ответ:
XSS (Cross-Site Scripting) — это атака, при которой злоумышленник внедряет JavaScript-код на страницу, который выполняется в браузере жертвы.
3. Практический вопрос:
Как проверить уязвимость Path Traversal?
Ответ:
Измените параметры пути файла, используя последовательности ../ (например, ../../../../etc/passwd), чтобы получить доступ к системным файлам.
Билет №2
1. Теоретический вопрос:
Что такое CSRF?
Ответ:
CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие в приложении, где он уже аутентифицирован.
2. Теоретический вопрос:
Что такое OWASP?
Ответ:
OWASP (Open Web Application Security Project) — некоммерческая организация, занимающаяся повышением безопасности веб-приложений.
3. Практический вопрос:
Как составить bug report?
Ответ:
Bug report должен включать: заголовок, шаги воспроизведения, фактический и ожидаемый результат, серьезность проблемы и рекомендации по устранению.
Билет №3
1. Теоретический вопрос:
Что такое IDOR?
Ответ:
IDOR (Insecure Direct Object References) — это уязвимость, при которой пользователь может получить доступ к данным других пользователей, изменив идентификатор объекта в запросе.
2. Теоретический вопрос:
Что такое Burp Suite?
Ответ:
Burp Suite — это набор инструментов для анализа безопасности веб-приложений, включая перехват запросов и сканирование уязвимостей.
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №4
1. Теоретический вопрос:
Что такое SSRF?
Ответ:
SSRF (Server-Side Request Forgery) — это атака, при которой злоумышленник заставляет сервер выполнять запросы к внутренним или внешним ресурсам.
2. Теоретический вопрос:
Что такое CVE?
Ответ:
CVE (Common Vulnerabilities and Exposures) — это система идентификации общих уязвимостей и экспозиций с уникальными идентификаторами (например, CVE-2021-44228).
3. Практический вопрос:
Как найти уязвимость в загрузке файлов?
Ответ:
Загрузите файл с запрещенным расширением (например, .exe) или измените MIME-тип, чтобы проверить, блокирует ли система опасные файлы.
Билет №5
1. Теоретический вопрос:
Что такое Broken Access Control?
Ответ:
Broken Access Control — это уязвимость, при которой пользователь получает доступ к функциям или данным, которые ему не должны быть доступны.
2. Теоретический вопрос:
Что такое fuzzing?
Ответ:
Fuzzing — это метод тестирования, при котором в систему подаются случайные или полуслучайные данные для выявления ошибок или уязвимостей.
3. Практический вопрос:
Как проверить уязвимость Security Misconfiguration?
Ответ:
Проверьте, открыты ли стандартные порты, используются ли устаревшие версии ПО или отображается ли подробная информация об ошибках сервера.
Билет №6
1. Теоретический вопрос:
Что такое Insecure Design?
Ответ:
Insecure Design — это уязвимость, возникающая из-за неправильной архитектуры приложения, которая делает его уязвимым для атак.
2. Теоретический вопрос:
Что такое DOM-based XSS?
Ответ:
DOM-based XSS — это разновидность XSS, при которой уязвимость возникает из-за неправильной обработки данных в DOM-структуре браузера.
3. Практический вопрос:
Как проверить уязвимость Command Injection?
Ответ:
В поле ввода попробуйте добавить команды ОС (например, ; ls или && dir) и проверьте, выполняются ли они.
Билет №7
1. Теоретический вопрос:
Что такое Security Logging?
Ответ:
Security Logging — это процесс записи событий безопасности для анализа инцидентов и предотвращения атак.
2. Теоретический вопрос:
Что такое Reflected XSS?
Ответ:
Reflected XSS — это атака, при которой вредоносный код передается через URL или форму и немедленно отображается на странице.
3. Практический вопрос:
Как проверить уязвимость Open Redirect?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №8
1. Теоретический вопрос:
Что такое Security Misconfiguration?
Ответ:
Security Misconfiguration — это уязвимость, возникающая из-за неправильной настройки системы, сервера или приложения, что делает их уязвимыми для атак.
2. Теоретический вопрос:
Что такое SQLMap?
Ответ:
SQLMap — это автоматизированный инструмент для обнаружения и эксплуатации SQL-инъекций в веб-приложениях.
3. Практический вопрос:
Как проверить уязвимость Clickjacking?
Ответ:
Создайте HTML-страницу с прозрачным iframe, содержащим целевое приложение, и проверьте, можно ли выполнить действия на странице без ведома пользователя.
Билет №9
1. Теоретический вопрос:
Что такое CORS?
Ответ:
CORS (Cross-Origin Resource Sharing) — это механизм, который определяет, как браузер может запрашивать ресурсы с другого домена. Неправильная настройка может привести к уязвимостям.
2. Теоретический вопрос:
Что такое Session Hijacking?
Ответ:
Session Hijacking — это атака, при которой злоумышленник перехватывает сессию пользователя для получения несанкционированного доступа к его аккаунту.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №10
1. Теоретический вопрос:
Что такое Insecure API?
Ответ:
Insecure API — это интерфейс прикладного программирования, который содержит уязвимости, такие как отсутствие аутентификации или незащищенные данные.
2. Теоретический вопрос:
Что такое Brute Force Attack?
Ответ:
Brute Force Attack — это метод подбора паролей путем перебора всех возможных комбинаций символов.
3. Практический вопрос:
Как проверить уязвимость Missing Rate Limiting?
Ответ:
Попробуйте отправить большое количество запросов за короткое время (например, для входа в систему) и проверьте, ограничивается ли количество попыток.
Билет №11
1. Теоретический вопрос:
Что такое Vulnerable Dependencies?
Ответ:
Vulnerable Dependencies — это использование устаревших или уязвимых библиотек и компонентов в приложении.
2. Теоретический вопрос:
Что такое CSRF Token?
Ответ:
CSRF Token — это уникальный код, добавляемый в форму для защиты от атак Cross-Site Request Forgery.
3. Практический вопрос:
Как проверить уязвимость Information Disclosure?
Ответ:
Проверьте, отображаются ли сообщения об ошибках с подробной информацией (например, стек вызовов или данные базы данных).
Билет №12
1. Теоретический вопрос:
Что такое Broken Authentication?
Ответ:
Broken Authentication — это уязвимость, при которой механизм аутентификации позволяет злоумышленнику получить доступ к учетным записям пользователей.
2. Теоретический вопрос:
Что такое XSS Payload?
Ответ:
XSS Payload — это вредоносный JavaScript-код, внедряемый в уязвимую систему для выполнения атаки Cross-Site Scripting.
3. Практический вопрос:
Как проверить уязвимость Default Credentials?
Ответ:
Попробуйте войти в систему с использованием стандартных логинов и паролей (например, admin:admin или root:root).
Билет №13
1. Теоретический вопрос:
Что такое Data Exposure?
Ответ:
Data Exposure — это уязвимость, при которой конфиденциальные данные становятся доступными злоумышленникам из-за неправильной настройки безопасности.
2. Теоретический вопрос:
Что такое JWT?
Ответ:
JWT (JSON Web Token) — это стандарт передачи данных между сторонами в виде JSON-объекта, часто используемый для аутентификации.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №14
1. Теоретический вопрос:
Что такое Sensitive Data Exposure?
Ответ:
Sensitive Data Exposure — это уязвимость, при которой чувствительные данные (например, пароли или номера карт) передаются или хранятся небезопасно.
2. Теоретический вопрос:
Что такое Input Validation?
Ответ:
Input Validation — это процесс проверки пользовательского ввода на соответствие ожидаемому формату для предотвращения атак.
3. Практический вопрос:
Как проверить уязвимость XML External Entity (XXE)?
Ответ:
Попробуйте загрузить XML-файл с внешними сущностями (например, <!ENTITY xxe SYSTEM "file:///etc/passwd">) и проверьте, читаются ли файлы системы.
Билет №15
1. Теоретический вопрос:
Что такое Security Testing?
Ответ:
Security Testing — это процесс выявления уязвимостей в системе для повышения её защищенности.
2. Теоретический вопрос:
Что такое Penetration Testing?
Ответ:
Penetration Testing — это метод имитации атак на систему для выявления уязвимостей до их использования злоумышленниками.
3. Практический вопрос:
Как проверить уязвимость Directory Listing?
Ответ:
Откройте URL каталога (например, /images/) и проверьте, отображается ли список файлов вместо ошибки 403 или 404.
Билет №16
1. Теоретический вопрос:
Что такое Man-in-the-Middle Attack?
Ответ:
Man-in-the-Middle Attack — это атака, при которой злоумышленник перехватывает и изменяет данные между двумя сторонами без их ведома.
2. Теоретический вопрос:
Что такое HTTPS?
Ответ:
HTTPS — это протокол безопасной передачи данных через шифрование с использованием SSL/TLS для защиты от перехвата информации.
3. Практический вопрос:
Как проверить уязвимость Mixed Content?
Ответ:
Проверьте, загружаются ли на HTTPS-сайте ресурсы (например, изображения или скрипты) через незащищенный HTTP.
Билет №17
1. Теоретический вопрос:
Что такое Security Headers?
Ответ:
Security Headers — это HTTP-заголовки, которые добавляют дополнительный уровень защиты веб-приложения (например, Content-Security-Policy).
2. Теоретический вопрос:
Что такое Race Condition?
Ответ:
Race Condition — это уязвимость, возникающая, когда результат выполнения программы зависит от порядка выполнения операций.
3. Практический вопрос:
Как проверить уязвимость Missing CSRF Token?
Ответ:
Отправьте POST-запрос без CSRF-токена и проверьте, выполняется ли действие.
Билет №18
1. Теоретический вопрос:
Что такое Privilege Escalation?
Ответ:
Privilege Escalation — это уязвимость, позволяющая пользователю получить права выше его уровня доступа.
2. Теоретический вопрос:
Что такое Error-Based SQL Injection?
Ответ:
Error-Based SQL Injection — это метод эксплуатации SQL-инъекций через анализ сообщений об ошибках базы данных.
3. Практический вопрос:
Как проверить уязвимость Insecure File Upload?
Ответ:
Загрузите файл с вредоносным кодом (например, .php) и попробуйте его выполнить на сервере.
Билет №19
1. Теоретический вопрос:
Что такое Security Patch Management?
Ответ:
Security Patch Management — это процесс своевременного обновления программного обеспечения для устранения известных уязвимостей.
2. Теоретический вопрос:
Что такое Blind SQL Injection?
Ответ:
Blind SQL Injection — это метод эксплуатации SQL-инъекций, при котором ответы системы не содержат явных данных, но поддаются анализу.
3. Практический вопрос:
Как проверить уязвимость Session Fixation?
Ответ:
Создайте сессию пользователя, отправьте её ID жертве и проверьте, можно ли использовать её для входа после аутентификации жертвы.
Билет №20
1. Теоретический вопрос:
Что такое Security Testing Tools?
Ответ:
Security Testing Tools — это инструменты для автоматизированного поиска уязвимостей (например, Burp Suite, OWASP ZAP).
2. Теоретический вопрос:
Что такое XSS Filter Evasion?
Ответ:
XSS Filter Evasion — это метод обхода защитных механизмов для выполнения Cross-Site Scripting атак.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №21
1. Теоретический вопрос:
Что такое Vulnerability Scanning?
Ответ:
Vulnerability Scanning — это процесс автоматического поиска известных уязвимостей в системе.
2. Теоретический вопрос:
Что такое CSRF Protection?
Ответ:
CSRF Protection — это меры для предотвращения атак Cross-Site Request Forgery, такие как использование токенов.
3. Практический вопрос:
Как проверить уязвимость Unrestricted File Upload?
Ответ:
Загрузите файл с запрещенным расширением (например, .exe) и проверьте, блокирует ли система его выполнение.
Билет №22
1. Теоретический вопрос:
Что такое Security Auditing?
Ответ:
Security Auditing — это процесс проверки системы на соответствие стандартам безопасности.
2. Теоретический вопрос:
Что такое DOM XSS?
Ответ:
DOM XSS — это разновидность XSS, при которой уязвимость возникает из-за неправильной обработки данных в DOM.
3. Практический вопрос:
Как проверить уязвимость Weak Session Management?
Ответ:
Попробуйте использовать один и тот же сессионный токен на разных устройствах или браузерах.
Билет №23
1. Теоретический вопрос:
Что такое Input Sanitization?
Ответ:
Input Sanitization — это процесс очистки пользовательского ввода для предотвращения атак, таких как SQL-инъекции.
2. Теоретический вопрос:
Что такое SSRF Protection?
Ответ:
SSRF Protection — это меры для предотвращения атак Server-Side Request Forgery, такие как ограничение доступа к внутренним ресурсам.
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №24
1. Теоретический вопрос:
Что такое Security Policy?
Ответ:
Security Policy — это документ, определяющий правила и процедуры для обеспечения безопасности системы.
2. Теоретический вопрос:
Что такое Reflected XSS Payload?
Ответ:
Reflected XSS Payload — это вредоносный JavaScript-код, внедряемый через URL или форму и немедленно выполняемый.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №25
1. Теоретический вопрос:
Что такое Security Compliance?
Ответ:
Security Compliance — это соответствие системы требованиям стандартов безопасности (например, GDPR, PCI DSS).
2. Теоретический вопрос:
Что такое Stored XSS Payload?
Ответ:
Stored XSS Payload — это вредоносный JavaScript-код, сохраняемый на сервере и выполняемый при каждом просмотре страницы.
3. Практический вопрос:
Как проверить уязвимость Open Redirect?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №26
1. Теоретический вопрос:
Что такое Security Testing Lifecycle?
Ответ:
Security Testing Lifecycle — это процесс тестирования безопасности, включающий планирование, анализ, выполнение тестов и подготовку отчетов.
2. Теоретический вопрос:
Что такое XSS Context?
Ответ:
XSS Context — это место в HTML-документе, где внедряется вредоносный код (например, атрибуты, теги или JavaScript).
3. Практический вопрос:
Как проверить уязвимость Weak Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №27
1. Теоретический вопрос:
Что такое Security Incident Response?
Ответ:
Security Incident Response — это процесс реагирования на инциденты безопасности для минимизации ущерба.
2. Теоретический вопрос:
Что такое CSRF Token Validation?
Ответ:
CSRF Token Validation — это проверка наличия и корректности CSRF-токена для предотвращения атак.
3. Практический вопрос:
Как проверить уязвимость Missing Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №28
1. Теоретический вопрос:
Что такое Security Risk Assessment?
Ответ:
Security Risk Assessment — это процесс оценки рисков для определения потенциальных угроз и их последствий.
2. Теоретический вопрос:
Что такое DOM-based XSS Payload?
Ответ:
DOM-based XSS Payload — это вредоносный JavaScript-код, внедряемый через DOM-структуру браузера.
3. Практический вопрос:
Как проверить уязвимость Insecure Direct Object References?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №29
1. Теоретический вопрос:
Что такое Security Hardening?
Ответ:
Security Hardening — это процесс настройки системы для минимизации уязвимостей и повышения безопасности.
2. Теоретический вопрос:
Что такое Reflected XSS Protection?
Ответ:
Reflected XSS Protection — это меры для предотвращения внедрения вредоносного кода через URL или форму.
3. Практический вопрос:
Как проверить уязвимость Broken Access Control?
Ответ:
Попробуйте получить доступ к функциям или данным, которые должны быть недоступны вашему пользователю.
Билет №30
1. Теоретический вопрос:
Что такое Security Monitoring?
Ответ:
Security Monitoring — это процесс наблюдения за системой для выявления подозрительной активности или атак.
2. Теоретический вопрос:
Что такое Stored XSS Protection?
Ответ:
Stored XSS Protection — это меры для предотвращения сохранения вредоносного кода на сервере.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №31
1. Теоретический вопрос:
Что такое Security Patch Deployment?
Ответ:
Security Patch Deployment — это процесс установки обновлений для устранения известных уязвимостей.
2. Теоретический вопрос:
Что такое DOM-based XSS Protection?
Ответ:
DOM-based XSS Protection — это меры для предотвращения внедрения вредоносного кода через DOM-структуру.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №32
1. Теоретический вопрос:
Что такое Security Compliance Auditing?
Ответ:
Security Compliance Auditing — это процесс проверки соответствия системы стандартам безопасности (например, GDPR, PCI DSS).
2. Теоретический вопрос:
Что такое XSS Filter?
Ответ:
XSS Filter — это защитный механизм браузера для блокировки Cross-Site Scripting атак.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №33
1. Теоретический вопрос:
Что такое Security Threat Modeling?
Ответ:
Security Threat Modeling — это процесс анализа системы для выявления потенциальных угроз и их устранения.
2. Теоретический вопрос:
Что такое CSRF Token Expiration?
Ответ:
CSRF Token Expiration — это время, после которого CSRF-токен становится недействительным для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №34
1. Теоретический вопрос:
Что такое Security Policy Enforcement?
Ответ:
Security Policy Enforcement — это процесс применения политик безопасности для защиты системы.
2. Теоретический вопрос:
Что такое XSS Sanitization?
Ответ:
XSS Sanitization — это процесс очистки пользовательского ввода для предотвращения внедрения вредоносного кода.
3. Практический вопрос:
Как проверить уязвимость Weak Session Management?
Ответ:
Попробуйте использовать один и тот же сессионный токен на разных устройствах или браузерах.
Билет №35
1. Теоретический вопрос:
Что такое Security Awareness Training?
Ответ:
Security Awareness Training — это обучение сотрудников основам безопасности для предотвращения атак.
2. Теоретический вопрос:
Что такое CSRF Token Regeneration?
Ответ:
CSRF Token Regeneration — это процесс создания нового токена при каждом запросе для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Insecure File Upload?
Ответ:
Загрузите файл с вредоносным кодом (например, .php) и попробуйте его выполнить на сервере.
1. Теоретический вопрос:
Что такое Security Incident Management?
Ответ:
Security Incident Management — это процесс управления инцидентами безопасности, включая их обнаружение, анализ и устранение.
2. Теоретический вопрос:
Что такое XSS Encoding?
Ответ:
XSS Encoding — это процесс преобразования символов в безопасный формат для предотвращения внедрения вредоносного кода.
3. Практический вопрос:
Как проверить уязвимость Insecure Password Storage?
Ответ:
Попробуйте получить хэши паролей из базы данных или логов и проверьте их на слабость с помощью инструментов, таких как Hashcat.
Билет №37
1. Теоретический вопрос:
Что такое Security Testing Frameworks?
Ответ:
Security Testing Frameworks — это набор инструментов и методологий для автоматизированного тестирования безопасности (например, OWASP ZAP).
2. Теоретический вопрос:
Что такое CSRF Token Binding?
Ответ:
CSRF Token Binding — это привязка токена к конкретной сессии или IP-адресу для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №38
1. Теоретический вопрос:
Что такое Security Risk Mitigation?
Ответ:
Security Risk Mitigation — это процесс снижения рисков путем применения мер безопасности.
2. Теоретический вопрос:
Что такое Reflected XSS Encoding?
Ответ:
Reflected XSS Encoding — это защита от внедрения вредоносного кода через URL или форму путем преобразования символов.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №39
1. Теоретический вопрос:
Что такое Security Compliance Frameworks?
Ответ:
Security Compliance Frameworks — это стандарты и руководства для обеспечения соответствия требованиям безопасности (например, ISO 27001).
2. Теоретический вопрос:
Что такое DOM-based XSS Encoding?
Ответ:
DOM-based XSS Encoding — это защита от внедрения вредоносного кода через DOM-структуру путем преобразования символов.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №40
1. Теоретический вопрос:
Что такое Security Policy Documentation?
Ответ:
Security Policy Documentation — это документ, описывающий правила и процедуры для обеспечения безопасности системы.
2. Теоретический вопрос:
Что такое Stored XSS Encoding?
Ответ:
Stored XSS Encoding — это защита от сохранения вредоносного кода на сервере путем преобразования символов.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №41
1. Теоретический вопрос:
Что такое Security Threat Intelligence?
Ответ:
Security Threat Intelligence — это информация о текущих угрозах и методах атак для повышения безопасности системы.
2. Теоретический вопрос:
Что такое XSS Context Encoding?
Ответ:
XSS Context Encoding — это защита от внедрения вредоносного кода в зависимости от контекста (например, HTML, JavaScript).
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №42
1. Теоретический вопрос:
Что такое Security Risk Prioritization?
Ответ:
Security Risk Prioritization — это процесс определения приоритетов для устранения рисков на основе их серьезности.
2. Теоретический вопрос:
Что такое CSRF Token Expiration Time?
Ответ:
CSRF Token Expiration Time — это время, после которого CSRF-токен становится недействительным для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №43
1. Теоретический вопрос:
Что такое Security Risk Scoring?
Ответ:
Security Risk Scoring — это процесс оценки рисков на основе их влияния и вероятности возникновения.
2. Теоретический вопрос:
Что такое DOM-based XSS Context?
Ответ:
DOM-based XSS Context — это место в DOM-структуре, где может быть внедрен вредоносный код.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №44
1. Теоретический вопрос:
Что такое Security Risk Analysis?
Ответ:
Security Risk Analysis — это процесс анализа рисков для определения их источников и последствий.
2. Теоретический вопрос:
Что такое Reflected XSS Context?
Ответ:
Reflected XSS Context — это место в ответе сервера, где может быть внедрен вредоносный код через URL или форму.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №45
1. Теоретический вопрос:
Что такое Security Risk Assessment Tools?
Ответ:
Security Risk Assessment Tools — это инструменты для автоматизированного анализа рисков (например, Nessus).
2. Теоретический вопрос:
Что такое Stored XSS Context?
Ответ:
Stored XSS Context — это место в системе, где сохраняется вредоносный код для последующего выполнения.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №46
1. Теоретический вопрос:
Что такое Security Risk Mitigation Strategies?
Ответ:
Security Risk Mitigation Strategies — это методы снижения рисков, такие как внедрение политик безопасности или использование шифрования.
2. Теоретический вопрос:
Что такое XSS Context Sanitization?
Ответ:
XSS Context Sanitization — это процесс очистки пользовательского ввода для предотвращения внедрения вредоносного кода в зависимости от контекста.
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №47
1. Теоретический вопрос:
Что такое Security Incident Response Plan?
Ответ:
Security Incident Response Plan — это документ, описывающий действия при возникновении инцидента безопасности.
2. Теоретический вопрос:
Что такое CSRF Token Binding to Session?
Ответ:
CSRF Token Binding to Session — это привязка токена к конкретной сессии пользователя для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №48
1. Теоретический вопрос:
Что такое Security Risk Prioritization Frameworks?
Ответ:
Security Risk Prioritization Frameworks — это стандарты для определения приоритетов устранения рисков (например, CVSS).
2. Теоретический вопрос:
Что такое Reflected XSS Sanitization?
Ответ:
Reflected XSS Sanitization — это защита от внедрения вредоносного кода через URL или форму путем очистки входных данных.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №49
1. Теоретический вопрос:
Что такое Security Compliance Auditing Tools?
Ответ:
Security Compliance Auditing Tools — это инструменты для автоматизированной проверки соответствия стандартам безопасности (например, OpenSCAP).
2. Теоретический вопрос:
Что такое DOM-based XSS Sanitization?
Ответ:
DOM-based XSS Sanitization — это защита от внедрения вредоносного кода через DOM-структуру путем очистки входных данных.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №50
1. Теоретический вопрос:
Что такое Security Policy Documentation Standards?
Ответ:
Security Policy Documentation Standards — это стандарты для создания документов, описывающих правила безопасности (например, ISO 27001).
2. Теоретический вопрос:
Что такое Stored XSS Sanitization?
Ответ:
Stored XSS Sanitization — это защита от сохранения вредоносного кода на сервере путем очистки входных данных.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №51
1. Теоретический вопрос:
Что такое Security Threat Intelligence Platforms?
Ответ:
Security Threat Intelligence Platforms — это системы для сбора и анализа информации о текущих угрозах (например, IBM X-Force).
2. Теоретический вопрос:
Что такое XSS Context Filtering?
Ответ:
XSS Context Filtering — это защита от внедрения вредоносного кода путем фильтрации входных данных в зависимости от контекста.
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №52
1. Теоретический вопрос:
Что такое Security Risk Prioritization Models?
Ответ:
Security Risk Prioritization Models — это модели для определения приоритетов устранения рисков на основе их серьезности (например, CVSS).
2. Теоретический вопрос:
Что такое CSRF Token Expiration Mechanism?
Ответ:
CSRF Token Expiration Mechanism — это механизм, делающий токен недействительным после определенного времени для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №53
1. Теоретический вопрос:
Что такое Security Risk Scoring Frameworks?
Ответ:
Security Risk Scoring Frameworks — это стандарты для оценки рисков на основе их влияния и вероятности возникновения (например, CVSS).
2. Теоретический вопрос:
Что такое DOM-based XSS Filtering?
Ответ:
DOM-based XSS Filtering — это защита от внедрения вредоносного кода через DOM-структуру путем фильтрации входных данных.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №54
1. Теоретический вопрос:
Что такое Security Risk Analysis Tools?
Ответ:
Security Risk Analysis Tools — это инструменты для автоматизированного анализа рисков (например, Qualys).
2. Теоретический вопрос:
Что такое Reflected XSS Filtering?
Ответ:
Reflected XSS Filtering — это защита от внедрения вредоносного кода через URL или форму путем фильтрации входных данных.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №55
1. Теоретический вопрос:
Что такое Security Risk Assessment Frameworks?
Ответ:
Security Risk Assessment Frameworks — это стандарты для проведения анализа рисков (например, NIST SP 800-30).
2. Теоретический вопрос:
Что такое Stored XSS Filtering?
Ответ:
Stored XSS Filtering — это защита от сохранения вредоносного кода на сервере путем фильтрации входных данных.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №56
1. Теоретический вопрос:
Что такое Security Risk Mitigation Techniques?
Ответ:
Security Risk Mitigation Techniques — это методы снижения рисков, такие как внедрение межсетевых экранов, шифрование данных или обучение сотрудников.
2. Теоретический вопрос:
Что такое XSS Context Validation?
Ответ:
XSS Context Validation — это процесс проверки пользовательского ввода на соответствие ожидаемому формату в зависимости от контекста.
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №57
1. Теоретический вопрос:
Что такое Security Incident Response Team (SIRT)?
Ответ:
Security Incident Response Team (SIRT) — это группа специалистов, отвечающая за реагирование на инциденты безопасности.
2. Теоретический вопрос:
Что такое CSRF Token Binding to IP?
Ответ:
CSRF Token Binding to IP — это привязка токена к IP-адресу пользователя для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №58
1. Теоретический вопрос:
Что такое Security Risk Prioritization Tools?
Ответ:
Security Risk Prioritization Tools — это инструменты для автоматизированного определения приоритетов устранения рисков (например, Qualys).
2. Теоретический вопрос:
Что такое Reflected XSS Validation?
Ответ:
Reflected XSS Validation — это защита от внедрения вредоносного кода через URL или форму путем проверки входных данных.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №59
1. Теоретический вопрос:
Что такое Security Compliance Auditing Standards?
Ответ:
Security Compliance Auditing Standards — это стандарты для проверки соответствия требованиям безопасности (например, PCI DSS, GDPR).
2. Теоретический вопрос:
Что такое DOM-based XSS Validation?
Ответ:
DOM-based XSS Validation — это защита от внедрения вредоносного кода через DOM-структуру путем проверки входных данных.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №60
1. Теоретический вопрос:
Что такое Security Policy Documentation Frameworks?
Ответ:
Security Policy Documentation Frameworks — это стандарты для создания документов, описывающих правила безопасности (например, ISO 27001).
2. Теоретический вопрос:
Что такое Stored XSS Validation?
Ответ:
Stored XSS Validation — это защита от сохранения вредоносного кода на сервере путем проверки входных данных.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №61
1. Теоретический вопрос:
Что такое Security Threat Intelligence Feeds?
Ответ:
Security Threat Intelligence Feeds — это источники информации о текущих угрозах и методах атак (например, AlienVault OTX).
2. Теоретический вопрос:
Что такое XSS Context Encoding Libraries?
Ответ:
XSS Context Encoding Libraries — это библиотеки для безопасного преобразования символов в зависимости от контекста (например, OWASP Java Encoder).
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №62
1. Теоретический вопрос:
Что такое Security Risk Prioritization Guidelines?
Ответ:
Security Risk Prioritization Guidelines — это рекомендации для определения приоритетов устранения рисков на основе их серьезности.
2. Теоретический вопрос:
Что такое CSRF Token Expiration Handling?
Ответ:
CSRF Token Expiration Handling — это механизм управления сроком действия токена для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №63
1. Теоретический вопрос:
Что такое Security Risk Scoring Guidelines?
Ответ:
Security Risk Scoring Guidelines — это рекомендации для оценки рисков на основе их влияния и вероятности возникновения (например, CVSS).
2. Теоретический вопрос:
Что такое DOM-based XSS Encoding Libraries?
Ответ:
DOM-based XSS Encoding Libraries — это библиотеки для безопасного преобразования символов в DOM-структуре (например, DOMPurify).
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №64
1. Теоретический вопрос:
Что такое Security Risk Analysis Guidelines?
Ответ:
Security Risk Analysis Guidelines — это рекомендации для проведения анализа рисков (например, NIST SP 800-30).
2. Теоретический вопрос:
Что такое Reflected XSS Encoding Libraries?
Ответ:
Reflected XSS Encoding Libraries — это библиотеки для безопасного преобразования символов для защиты от внедрения вредоносного кода через URL или форму.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №65
1. Теоретический вопрос:
Что такое Security Risk Assessment Guidelines?
Ответ:
Security Risk Assessment Guidelines — это рекомендации для проведения оценки рисков (например, ISO 27005).
2. Теоретический вопрос:
Что такое Stored XSS Encoding Libraries?
Ответ:
Stored XSS Encoding Libraries — это библиотеки для безопасного преобразования символов для защиты от сохранения вредоносного кода на сервере.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №66
1. Теоретический вопрос:
Что такое Security Risk Mitigation Frameworks?
Ответ:
Security Risk Mitigation Frameworks — это стандарты и методологии для снижения рисков, такие как NIST Cybersecurity Framework.
2. Теоретический вопрос:
Что такое XSS Context Filtering Libraries?
Ответ:
XSS Context Filtering Libraries — это библиотеки для фильтрации пользовательского ввода в зависимости от контекста (например, OWASP ESAPI).
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №67
1. Теоретический вопрос:
Что такое Security Incident Response Lifecycle?
Ответ:
Security Incident Response Lifecycle — это процесс реагирования на инциденты, включающий обнаружение, анализ, устранение и восстановление.
2. Теоретический вопрос:
Что такое CSRF Token Binding to User Agent?
Ответ:
CSRF Token Binding to User Agent — это привязка токена к браузеру пользователя для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №68
1. Теоретический вопрос:
Что такое Security Risk Prioritization Guidelines for Cloud?
Ответ:
Security Risk Prioritization Guidelines for Cloud — это рекомендации для определения приоритетов устранения рисков в облачных средах (например, CSA CCM).
2. Теоретический вопрос:
Что такое Reflected XSS Filtering Libraries?
Ответ:
Reflected XSS Filtering Libraries — это библиотеки для фильтрации входных данных для защиты от внедрения вредоносного кода через URL или форму.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №69
1. Теоретический вопрос:
Что такое Security Compliance Auditing for Cloud Services?
Ответ:
Security Compliance Auditing for Cloud Services — это процесс проверки соответствия облачных сервисов стандартам безопасности (например, ISO 27017).
2. Теоретический вопрос:
Что такое DOM-based XSS Filtering Libraries?
Ответ:
DOM-based XSS Filtering Libraries — это библиотеки для фильтрации входных данных для защиты от внедрения вредоносного кода через DOM-структуру.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №70
1. Теоретический вопрос:
Что такое Security Policy Documentation for Cloud Environments?
Ответ:
Security Policy Documentation for Cloud Environments — это документы, описывающие правила безопасности для облачных сред (например, AWS Security Best Practices).
2. Теоретический вопрос:
Что такое Stored XSS Filtering Libraries?
Ответ:
Stored XSS Filtering Libraries — это библиотеки для фильтрации входных данных для защиты от сохранения вредоносного кода на сервере.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №71
1. Теоретический вопрос:
Что такое Security Threat Intelligence for Cloud Platforms?
Ответ:
Security Threat Intelligence for Cloud Platforms — это информация о текущих угрозах, специфичных для облачных платформ (например, Azure Security Center).
2. Теоретический вопрос:
Что такое XSS Context Encoding for JavaScript?
Ответ:
XSS Context Encoding for JavaScript — это преобразование символов в безопасный формат для предотвращения внедрения вредоносного кода в JavaScript.
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №72
1. Теоретический вопрос:
Что такое Security Risk Prioritization for IoT Devices?
Ответ:
Security Risk Prioritization for IoT Devices — это процесс определения приоритетов устранения рисков для устройств Интернета вещей.
2. Теоретический вопрос:
Что такое CSRF Token Expiration Handling in Cloud?
Ответ:
CSRF Token Expiration Handling in Cloud — это управление сроком действия токена в облачных приложениях для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №73
1. Теоретический вопрос:
Что такое Security Risk Scoring for Mobile Applications?
Ответ:
Security Risk Scoring for Mobile Applications — это процесс оценки рисков для мобильных приложений на основе их влияния и вероятности возникновения.
2. Теоретический вопрос:
Что такое DOM-based XSS Encoding for HTML Attributes?
Ответ:
DOM-based XSS Encoding for HTML Attributes — это преобразование символов для защиты от внедрения вредоносного кода в атрибуты HTML.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №74
1. Теоретический вопрос:
Что такое Security Risk Analysis for Web Applications?
Ответ:
Security Risk Analysis for Web Applications — это процесс анализа рисков для веб-приложений с целью выявления уязвимостей.
2. Теоретический вопрос:
Что такое Reflected XSS Encoding for HTML Tags?
Ответ:
Reflected XSS Encoding for HTML Tags — это преобразование символов для защиты от внедрения вредоносного кода в HTML-теги.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №75
1. Теоретический вопрос:
Что такое Security Risk Assessment for APIs?
Ответ:
Security Risk Assessment for APIs — это процесс оценки рисков для API с целью выявления уязвимостей.
2. Теоретический вопрос:
Что такое Stored XSS Encoding for HTML Comments?
Ответ:
Stored XSS Encoding for HTML Comments — это преобразование символов для защиты от внедрения вредоносного кода в HTML-комментарии.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №76
1. Теоретический вопрос:
Что такое Security Risk Mitigation for Mobile Applications?
Ответ:
Security Risk Mitigation for Mobile Applications — это процесс снижения рисков для мобильных приложений, включая шифрование данных и управление доступом.
2. Теоретический вопрос:
Что такое XSS Context Validation for JavaScript Functions?
Ответ:
XSS Context Validation for JavaScript Functions — это проверка пользовательского ввода для предотвращения внедрения вредоносного кода в JavaScript-функции.
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №77
1. Теоретический вопрос:
Что такое Security Incident Response for IoT Devices?
Ответ:
Security Incident Response for IoT Devices — это процесс реагирования на инциденты безопасности, связанные с устройствами Интернета вещей.
2. Теоретический вопрос:
Что такое CSRF Token Binding to Device Identifier?
Ответ:
CSRF Token Binding to Device Identifier — это привязка токена к уникальному идентификатору устройства для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №78
1. Теоретический вопрос:
Что такое Security Risk Prioritization for Web Applications?
Ответ:
Security Risk Prioritization for Web Applications — это процесс определения приоритетов устранения рисков для веб-приложений.
2. Теоретический вопрос:
Что такое Reflected XSS Validation for HTML Forms?
Ответ:
Reflected XSS Validation for HTML Forms — это проверка входных данных для защиты от внедрения вредоносного кода через формы.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №79
1. Теоретический вопрос:
Что такое Security Compliance Auditing for Mobile Applications?
Ответ:
Security Compliance Auditing for Mobile Applications — это процесс проверки соответствия мобильных приложений стандартам безопасности (например, OWASP MASVS).
2. Теоретический вопрос:
Что такое DOM-based XSS Validation for JSON Data?
Ответ:
DOM-based XSS Validation for JSON Data — это проверка входных данных для защиты от внедрения вредоносного кода через JSON.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №80
1. Теоретический вопрос:
Что такое Security Policy Documentation for IoT Devices?
Ответ:
Security Policy Documentation for IoT Devices — это документы, описывающие правила безопасности для устройств Интернета вещей.
2. Теоретический вопрос:
Что такое Stored XSS Validation for Database Queries?
Ответ:
Stored XSS Validation for Database Queries — это проверка входных данных для защиты от сохранения вредоносного кода в базах данных.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №81
1. Теоретический вопрос:
Что такое Security Threat Intelligence for Mobile Applications?
Ответ:
Security Threat Intelligence for Mobile Applications — это информация о текущих угрозах, специфичных для мобильных приложений.
2. Теоретический вопрос:
Что такое XSS Context Filtering for HTML Attributes?
Ответ:
XSS Context Filtering for HTML Attributes — это фильтрация пользовательского ввода для защиты от внедрения вредоносного кода в атрибуты HTML.
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №82
1. Теоретический вопрос:
Что такое Security Risk Prioritization for APIs?
Ответ:
Security Risk Prioritization for APIs — это процесс определения приоритетов устранения рисков для API.
2. Теоретический вопрос:
Что такое CSRF Token Expiration Handling for Mobile Applications?
Ответ:
CSRF Token Expiration Handling for Mobile Applications — это управление сроком действия токена в мобильных приложениях для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №83
1. Теоретический вопрос:
Что такое Security Risk Scoring for IoT Devices?
Ответ:
Security Risk Scoring for IoT Devices — это процесс оценки рисков для устройств Интернета вещей на основе их влияния и вероятности возникновения.
2. Теоретический вопрос:
Что такое DOM-based XSS Filtering for JSON Data?
Ответ:
DOM-based XSS Filtering for JSON Data — это фильтрация входных данных для защиты от внедрения вредоносного кода через JSON.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №84
1. Теоретический вопрос:
Что такое Security Risk Analysis for Cloud Services?
Ответ:
Security Risk Analysis for Cloud Services — это процесс анализа рисков для облачных сервисов с целью выявления уязвимостей.
2. Теоретический вопрос:
Что такое Reflected XSS Filtering for HTML Tags?
Ответ:
Reflected XSS Filtering for HTML Tags — это фильтрация входных данных для защиты от внедрения вредоносного кода в HTML-теги.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №85
1. Теоретический вопрос:
Что такое Security Risk Assessment for Mobile Applications?
Ответ:
Security Risk Assessment for Mobile Applications — это процесс оценки рисков для мобильных приложений с целью выявления уязвимостей.
2. Теоретический вопрос:
Что такое Stored XSS Filtering for Database Queries?
Ответ:
Stored XSS Filtering for Database Queries — это фильтрация входных данных для защиты от сохранения вредоносного кода в базах данных.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №86
1. Теоретический вопрос:
Что такое Security Risk Mitigation for APIs?
Ответ:
Security Risk Mitigation for APIs — это процесс снижения рисков для API, включая аутентификацию, авторизацию и валидацию входных данных.
2. Теоретический вопрос:
Что такое XSS Context Validation for JavaScript Variables?
Ответ:
XSS Context Validation for JavaScript Variables — это проверка пользовательского ввода для предотвращения внедрения вредоносного кода в JavaScript-переменные.
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №87
1. Теоретический вопрос:
Что такое Security Incident Response for Cloud Services?
Ответ:
Security Incident Response for Cloud Services — это процесс реагирования на инциденты безопасности, связанные с облачными сервисами.
2. Теоретический вопрос:
Что такое CSRF Token Binding to Session Identifier?
Ответ:
CSRF Token Binding to Session Identifier — это привязка токена к уникальному идентификатору сессии для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №88
1. Теоретический вопрос:
Что такое Security Risk Prioritization for IoT Devices?
Ответ:
Security Risk Prioritization for IoT Devices — это процесс определения приоритетов устранения рисков для устройств Интернета вещей.
2. Теоретический вопрос:
Что такое Reflected XSS Validation for HTML Attributes?
Ответ:
Reflected XSS Validation for HTML Attributes — это проверка входных данных для защиты от внедрения вредоносного кода в атрибуты HTML.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №89
1. Теоретический вопрос:
Что такое Security Compliance Auditing for IoT Devices?
Ответ:
Security Compliance Auditing for IoT Devices — это процесс проверки соответствия устройств Интернета вещей стандартам безопасности (например, ISO 27001).
2. Теоретический вопрос:
Что такое DOM-based XSS Validation for JSON Arrays?
Ответ:
DOM-based XSS Validation for JSON Arrays — это проверка входных данных для защиты от внедрения вредоносного кода через массивы JSON.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №90
1. Теоретический вопрос:
Что такое Security Policy Documentation for Mobile Applications?
Ответ:
Security Policy Documentation for Mobile Applications — это документы, описывающие правила безопасности для мобильных приложений.
2. Теоретический вопрос:
Что такое Stored XSS Validation for HTML Comments?
Ответ:
Stored XSS Validation for HTML Comments — это проверка входных данных для защиты от сохранения вредоносного кода в HTML-комментариях.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Билет №91
1. Теоретический вопрос:
Что такое Security Threat Intelligence for APIs?
Ответ:
Security Threat Intelligence for APIs — это информация о текущих угрозах, специфичных для API.
2. Теоретический вопрос:
Что такое XSS Context Filtering for JavaScript Functions?
Ответ:
XSS Context Filtering for JavaScript Functions — это фильтрация пользовательского ввода для защиты от внедрения вредоносного кода в JavaScript-функции.
3. Практический вопрос:
Как проверить уязвимость Broken Authentication?
Ответ:
Попробуйте войти с простыми или пустыми паролями, использовать одинаковые учетные данные для разных аккаунтов или обойти двухфакторную аутентификацию.
Билет №92
1. Теоретический вопрос:
Что такое Security Risk Prioritization for Cloud Services?
Ответ:
Security Risk Prioritization for Cloud Services — это процесс определения приоритетов устранения рисков для облачных сервисов.
2. Теоретический вопрос:
Что такое CSRF Token Expiration Handling for Web Applications?
Ответ:
CSRF Token Expiration Handling for Web Applications — это управление сроком действия токена в веб-приложениях для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Weak Cryptography?
Ответ:
Проверьте, используется ли слабое шифрование (например, MD5 или SHA-1), и попробуйте взломать хэши с помощью инструментов, таких как Hashcat.
Билет №93
1. Теоретический вопрос:
Что такое Security Risk Scoring for Cloud Services?
Ответ:
Security Risk Scoring for Cloud Services — это процесс оценки рисков для облачных сервисов на основе их влияния и вероятности возникновения.
2. Теоретический вопрос:
Что такое DOM-based XSS Filtering for JSON Arrays?
Ответ:
DOM-based XSS Filtering for JSON Arrays — это фильтрация входных данных для защиты от внедрения вредоносного кода через массивы JSON.
3. Практический вопрос:
Как проверить уязвимость Insufficient Logging?
Ответ:
Попробуйте выполнить подозрительное действие (например, вход с неверным паролем) и проверьте, фиксируется ли событие в логах.
Билет №94
1. Теоретический вопрос:
Что такое Security Risk Analysis for IoT Devices?
Ответ:
Security Risk Analysis for IoT Devices — это процесс анализа рисков для устройств Интернета вещей с целью выявления уязвимостей.
2. Теоретический вопрос:
Что такое Reflected XSS Filtering for HTML Attributes?
Ответ:
Reflected XSS Filtering for HTML Attributes — это фильтрация входных данных для защиты от внедрения вредоносного кода в атрибуты HTML.
3. Практический вопрос:
Как проверить уязвимость Missing Error Handling?
Ответ:
Попробуйте вызвать ошибку (например, отправив пустой запрос) и проверьте, отображается ли подробная информация об ошибке.
Билет №95
1. Теоретический вопрос:
Что такое Security Risk Assessment for Cloud Services?
Ответ:
Security Risk Assessment for Cloud Services — это процесс оценки рисков для облачных сервисов с целью выявления уязвимостей.
2. Теоретический вопрос:
Что такое Stored XSS Filtering for HTML Comments?
Ответ:
Stored XSS Filtering for HTML Comments — это фильтрация входных данных для защиты от сохранения вредоносного кода в HTML-комментариях.
3. Практический вопрос:
Как проверить уязвимость Unvalidated Redirects?
Ответ:
Добавьте в URL параметр redirect=http://malicious-site.com и проверьте, перенаправляет ли сайт на указанный адрес.
Билет №96
1. Теоретический вопрос:
Что такое Security Risk Mitigation for IoT Devices?
Ответ:
Security Risk Mitigation for IoT Devices — это процесс снижения рисков для устройств Интернета вещей, включая шифрование данных, управление доступом и регулярное обновление прошивки.
2. Теоретический вопрос:
Что такое XSS Context Validation for JavaScript Events?
Ответ:
XSS Context Validation for JavaScript Events — это проверка пользовательского ввода для предотвращения внедрения вредоносного кода в события JavaScript (например, onclick).
3. Практический вопрос:
Как проверить уязвимость Insecure Password Recovery?
Ответ:
Попробуйте восстановить пароль, используя слабые вопросы безопасности или подбор кодов.
Билет №97
1. Теоретический вопрос:
Что такое Security Incident Response for Mobile Applications?
Ответ:
Security Incident Response for Mobile Applications — это процесс реагирования на инциденты безопасности, связанные с мобильными приложениями.
2. Теоретический вопрос:
Что такое CSRF Token Binding to User Role?
Ответ:
CSRF Token Binding to User Role — это привязка токена к роли пользователя для защиты от атак.
3. Практический вопрос:
Как проверить уязвимость Missing HTTPS Enforcement?
Ответ:
Проверьте, можно ли открыть сайт через HTTP вместо HTTPS, и перехватите данные.
Билет №98
1. Теоретический вопрос:
Что такое Security Risk Prioritization for Web Services?
Ответ:
Security Risk Prioritization for Web Services — это процесс определения приоритетов устранения рисков для веб-сервисов.
2. Теоретический вопрос:
Что такое Reflected XSS Validation for HTML Comments?
Ответ:
Reflected XSS Validation for HTML Comments — это проверка входных данных для защиты от внедрения вредоносного кода в HTML-комментарии.
3. Практический вопрос:
Как проверить уязвимость Weak Input Validation?
Ответ:
В поле ввода отправьте специальные символы (например, <script>) и проверьте, выполняется ли код.
Билет №99
1. Теоретический вопрос:
Что такое Security Compliance Auditing for APIs?
Ответ:
Security Compliance Auditing for APIs — это процесс проверки соответствия API стандартам безопасности (например, OWASP API Security Top 10).
2. Теоретический вопрос:
Что такое DOM-based XSS Validation for JavaScript Variables?
Ответ:
DOM-based XSS Validation for JavaScript Variables — это проверка входных данных для защиты от внедрения вредоносного кода в JavaScript-переменные.
3. Практический вопрос:
Как проверить уязвимость Insufficient Transport Layer Protection?
Ответ:
Проверьте, использует ли сайт шифрование TLS/SSL, и попробуйте перехватить данные через HTTP.
Билет №100
1. Теоретический вопрос:
Что такое Security Policy Documentation for Cloud Services?
Ответ:
Security Policy Documentation for Cloud Services — это документы, описывающие правила безопасности для облачных сервисов (например, AWS Security Policies).
2. Теоретический вопрос:
Что такое Stored XSS Validation for HTML Attributes?
Ответ:
Stored XSS Validation for HTML Attributes — это проверка входных данных для защиты от сохранения вредоносного кода в атрибуты HTML.
3. Практический вопрос:
Как проверить уязвимость Missing Access Control?
Ответ:
Измените параметры запроса (например, user_id=1 на user_id=2) и проверьте, отображаются ли данные другого пользователя.
Тесты для оценки навыков профессии "Охотник за ошибками (баг-хантер)"
Тест №1
Вопрос: Что такое SQL-инъекция?
Варианты ответов:
a) Атака, при которой злоумышленник внедряет вредоносный JavaScript-код.
b) Атака, при которой злоумышленник внедряет вредоносный SQL-код через пользовательский ввод. ✅
c) Атака, при которой злоумышленник перехватывает сессию пользователя.
d) Атака, при которой злоумышленник подменяет данные на стороне сервера.
Тест №2
Вопрос: Какой инструмент используется для анализа безопасности веб-приложений?
Варианты ответов:
a) Photoshop.
b) Burp Suite. ✅
c) Excel.
d) Notepad++.
Тест №3
Вопрос: Что такое XSS?
Варианты ответов:
a) Уязвимость, позволяющая внедрить вредоносный JavaScript-код. ✅
b) Уязвимость, позволяющая получить доступ к базе данных.
c) Уязвимость, связанная с отсутствием шифрования.
d) Уязвимость, связанная с переполнением буфера.
Тест №4
Вопрос: Что такое OWASP Top 10?
Варианты ответов:
a) Список лучших практик программирования.
b) Список наиболее популярных языков программирования.
c) Список наиболее критичных уязвимостей веб-приложений. ✅
d) Список рекомендаций по тестированию ПО.
Тест №5
Вопрос: Какая из следующих уязвимостей относится к OWASP Top 10?
Варианты ответов:
a) Broken Access Control. ✅
b) Missing File Permissions.
c) Incorrect Syntax Highlighting.
d) Slow Network Connection.
Тест №6
Вопрос: Что такое CSRF?
Варианты ответов:
a) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
b) Атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие. ✅
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №7
Вопрос: Как защититься от CSRF-атак?
Варианты ответов:
a) Использовать HTTPS.
b) Добавить CSRF-токен в форму. ✅
c) Удалить все файлы cookies.
d) Отключить JavaScript.
Тест №8
Вопрос: Что такое IDOR?
Варианты ответов:
a) Уязвимость, при которой пользователь может получить доступ к данным других пользователей. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением памяти.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №9
Вопрос: Как проверить уязвимость Path Traversal?
Варианты ответов:
a) Изменить параметры пути файла, используя последовательности ../. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №10
Вопрос: Что такое Security Misconfiguration?
Варианты ответов:
a) Уязвимость, возникающая из-за неправильной настройки системы или приложения. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №11
Вопрос: Как защититься от SQL-инъекций?
Варианты ответов:
a) Использовать параметризованные запросы. ✅
b) Отключить базу данных.
c) Удалить все файлы cookies.
d) Отключить JavaScript.
Тест №12
Вопрос: Что такое DOM-based XSS?
Варианты ответов:
a) Уязвимость, возникающая из-за неправильной обработки данных в DOM-структуре. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №13
Вопрос: Что такое Reflected XSS?
Варианты ответов:
a) Уязвимость, при которой вредоносный код сохраняется на сервере.
b) Уязвимость, при которой вредоносный код передается через URL или форму и немедленно выполняется. ✅
c) Уязвимость, связанная с отсутствием пароля.
d) Уязвимость, связанная с переполнением буфера.
Тест №14
Вопрос: Что такое Stored XSS?
Варианты ответов:
a) Уязвимость, при которой вредоносный код сохраняется на сервере и выполняется при каждом просмотре страницы. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №15
Вопрос: Как проверить уязвимость Open Redirect?
Варианты ответов:
a) Добавить в URL параметр redirect=http://malicious-site.com и проверить, перенаправляет ли сайт. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №16
Вопрос: Что такое Security Headers?
Варианты ответов:
a) HTTP-заголовки, которые добавляют дополнительный уровень защиты веб-приложения. ✅
b) Заголовки, используемые для хранения паролей.
c) Заголовки, которые ускоряют загрузку страницы.
d) Заголовки, используемые для перенаправления пользователя на другой сайт.
Тест №17
Вопрос: Какой заголовок защищает от Clickjacking?
Варианты ответов:
a) X-Frame-Options. ✅
b) Content-Type.
c) Cache-Control.
d) Access-Control-Allow-Origin.
Тест №18
Вопрос: Что такое SSRF?
Варианты ответов:
a) Атака, при которой злоумышленник заставляет сервер выполнять запросы к внутренним ресурсам. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №19
Вопрос: Как защититься от SSRF?
Варианты ответов:
a) Ограничить доступ к внутренним ресурсам. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №20
Вопрос: Что такое Security Patch?
Варианты ответов:
a) Обновление, исправляющее уязвимости в программном обеспечении. ✅
b) Программа для анализа безопасности.
c) Инструмент для создания бэкдоров.
d) Скрипт для автоматизации атак.
Тест №21
Вопрос: Что такое Vulnerable Dependencies?
Варианты ответов:
a) Уязвимости, возникающие из-за использования устаревших или небезопасных библиотек. ✅
b) Уязвимости, связанные с отсутствием пароля.
c) Уязвимости, связанные с переполнением буфера.
d) Уязвимости, связанные с медленной загрузкой страницы.
Тест №22
Вопрос: Как проверить уязвимость Insecure File Upload?
Варианты ответов:
a) Загрузить файл с расширением .exe и проверить, выполняется ли он на сервере. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №23
Вопрос: Что такое Privilege Escalation?
Варианты ответов:
a) Уязвимость, позволяющая пользователю получить права выше его уровня доступа. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №24
Вопрос: Как проверить уязвимость Missing Rate Limiting?
Варианты ответов:
a) Отправить большое количество запросов за короткое время и проверить, ограничивается ли количество попыток. ✅
b) Попробовать войти с пустым паролем.
c) Загрузить файл с расширением .exe.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №25
Вопрос: Что такое Security Logging?
Варианты ответов:
a) Процесс записи событий безопасности для анализа инцидентов. ✅
b) Процесс шифрования данных.
c) Процесс удаления файлов cookies.
d) Процесс перенаправления пользователя на другой сайт.
Тест №26
Вопрос: Что такое Information Disclosure?
Варианты ответов:
a) Уязвимость, при которой конфиденциальные данные становятся доступными злоумышленникам. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №27
Вопрос: Как проверить уязвимость Weak Password Policy?
Варианты ответов:
a) Попробовать зарегистрироваться с простым паролем (например, 123456). ✅
b) Отправить большое количество запросов за короткое время.
c) Загрузить файл с расширением .exe.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №28
Вопрос: Что такое Session Hijacking?
Варианты ответов:
a) Атака, при которой злоумышленник перехватывает сессию пользователя для получения несанкционированного доступа. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №29
Вопрос: Как защититься от Session Hijacking?
Варианты ответов:
a) Использовать HTTPS и регулярно обновлять токены сессии. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать слабые пароли.
Тест №30
Вопрос: Что такое Broken Authentication?
Варианты ответов:
a) Уязвимость, при которой механизм аутентификации позволяет злоумышленнику получить доступ к учетным записям пользователей. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №31
Вопрос: Что такое Security Testing?
Варианты ответов:
a) Процесс выявления уязвимостей в системе для повышения её защищенности. ✅
b) Процесс создания веб-сайтов.
c) Процесс написания кода на языке Python.
d) Процесс оптимизации загрузки страниц.
Тест №32
Вопрос: Какой инструмент используется для перехвата HTTP/HTTPS-запросов?
Варианты ответов:
a) Burp Suite. ✅
b) Photoshop.
c) Excel.
d) Notepad++.
Тест №33
Вопрос: Что такое Penetration Testing?
Варианты ответов:
a) Метод имитации атак на систему для выявления уязвимостей до их использования злоумышленниками. ✅
b) Метод удаления файлов cookies.
c) Метод шифрования данных.
d) Метод ускорения загрузки страниц.
Тест №34
Вопрос: Что такое Brute Force Attack?
Варианты ответов:
a) Атака, при которой злоумышленник подбирает пароль путем перебора всех возможных комбинаций символов. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №35
Вопрос: Как защититься от Brute Force Attack?
Варианты ответов:
a) Использовать сложные пароли и ограничить количество попыток входа. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №36
Вопрос: Что такое Default Credentials?
Варианты ответов:
a) Стандартные логины и пароли, установленные по умолчанию в системах или устройствах. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №37
Вопрос: Как проверить уязвимость Weak Cryptography?
Варианты ответов:
a) Проверить, используется ли слабое шифрование (например, MD5 или SHA-1), и попробовать взломать хэши. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №38
Вопрос: Что такое Insufficient Logging?
Варианты ответов:
a) Уязвимость, при которой система не фиксирует важные события безопасности. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №39
Вопрос: Как проверить уязвимость Missing Error Handling?
Варианты ответов:
a) Попробовать вызвать ошибку (например, отправив пустой запрос) и проверить, отображается ли подробная информация об ошибке. ✅
b) Отправить большое количество запросов за короткое время.
c) Загрузить файл с расширением .exe.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №40
Вопрос: Что такое Unvalidated Redirects?
Варианты ответов:
a) Уязвимость, при которой сайт перенаправляет пользователя на вредоносный ресурс. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №41
Вопрос: Как проверить уязвимость Directory Listing?
Варианты ответов:
a) Открыть URL каталога (например, /images/) и проверить, отображается ли список файлов вместо ошибки 403 или 404. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №42
Вопрос: Что такое Command Injection?
Варианты ответов:
a) Уязвимость, при которой злоумышленник внедряет команды операционной системы через пользовательский ввод. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №43
Вопрос: Как проверить уязвимость Command Injection?
Варианты ответов:
a) В поле ввода добавить команды ОС (например, ; ls или && dir) и проверить, выполняются ли они. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №44
Вопрос: Что такое XML External Entity (XXE)?
Варианты ответов:
a) Уязвимость, при которой злоумышленник использует внешние сущности XML для чтения файлов или выполнения команд. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №45
Вопрос: Как проверить уязвимость XXE?
Варианты ответов:
a) Загрузить XML-файл с внешними сущностями (например, <!ENTITY xxe SYSTEM "file:///etc/passwd">) и проверить, читаются ли файлы системы. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Изменить параметры пути файла, используя последовательности ../
Тест №46
Вопрос: Что такое CORS?
Варианты ответов:
a) Механизм, который определяет, как браузер может запрашивать ресурсы с другого домена. ✅
b) Программа для анализа баз данных.
c) Инструмент для шифрования данных.
d) Скрипт для автоматизации атак.
Тест №47
Вопрос: Как проверить уязвимость CORS Misconfiguration?
Варианты ответов:
a) Отправить запрос с другого домена и проверить, разрешает ли сервер доступ к ресурсам. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №48
Вопрос: Что такое Broken Access Control?
Варианты ответов:
a) Уязвимость, при которой пользователь получает доступ к данным или функциям, которые должны быть недоступны. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №49
Вопрос: Как проверить уязвимость Broken Access Control?
Варианты ответов:
a) Изменить параметры запроса (например, user_id=1 на user_id=2) и проверить, отображаются ли данные другого пользователя. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №50
Вопрос: Что такое Security Headers?
Варианты ответов:
a) HTTP-заголовки, которые добавляют дополнительный уровень защиты веб-приложения. ✅
b) Заголовки, используемые для хранения паролей.
c) Заголовки, которые ускоряют загрузку страницы.
d) Заголовки, используемые для перенаправления пользователя на другой сайт.
Тест №51
Вопрос: Какой заголовок защищает от XSS?
Варианты ответов:
a) Content-Security-Policy. ✅
b) Cache-Control.
c) Access-Control-Allow-Origin.
d) X-Content-Type-Options.
Тест №52
Вопрос: Что такое Session Fixation?
Варианты ответов:
a) Атака, при которой злоумышленник заставляет пользователя использовать предсказуемый сессионный токен. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №53
Вопрос: Как защититься от Session Fixation?
Варианты ответов:
a) Генерировать новый сессионный токен после аутентификации пользователя. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №54
Вопрос: Что такое Insecure Deserialization?
Варианты ответов:
a) Уязвимость, при которой злоумышленник может выполнить произвольный код через десериализацию объектов. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №55
Вопрос: Как проверить уязвимость Insecure Deserialization?
Варианты ответов:
a) Передать сериализованный объект с вредоносным кодом и проверить, выполняется ли он. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №56
Вопрос: Что такое Security Logging and Monitoring?
Варианты ответов:
a) Процесс записи событий безопасности и наблюдения за системой для выявления подозрительной активности. ✅
b) Процесс шифрования данных.
c) Процесс удаления файлов cookies.
d) Процесс перенаправления пользователя на другой сайт.
Тест №57
Вопрос: Что такое Input Validation?
Варианты ответов:
a) Процесс проверки пользовательского ввода на соответствие ожидаемому формату для предотвращения атак. ✅
b) Процесс шифрования данных.
c) Процесс удаления файлов cookies.
d) Процесс перенаправления пользователя на другой сайт.
Тест №58
Вопрос: Как защититься от Path Traversal?
Варианты ответов:
a) Валидировать и очищать пользовательский ввод, ограничивая доступ к файловой системе. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №59
Вопрос: Что такое Sensitive Data Exposure?
Варианты ответов:
a) Уязвимость, при которой чувствительные данные передаются или хранятся небезопасно. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №60
Вопрос: Как проверить уязвимость Sensitive Data Exposure?
Варианты ответов:
a) Проверить, передаются ли пароли, номера карт или другие конфиденциальные данные в открытом виде. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №61
Вопрос: Что такое Security Misconfiguration?
Варианты ответов:
a) Уязвимость, возникающая из-за неправильной настройки системы или приложения. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №62
Вопрос: Как проверить уязвимость Security Misconfiguration?
Варианты ответов:
a) Проверить наличие стандартных учетных данных, открытых портов и небезопасных конфигураций. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №63
Вопрос: Что такое Cross-Site Request Forgery (CSRF)?
Варианты ответов:
a) Атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие в авторизованном приложении. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №64
Вопрос: Как защититься от CSRF?
Варианты ответов:
a) Добавить CSRF-токен в форму и проверять его на сервере. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №65
Вопрос: Что такое Broken Authentication?
Варианты ответов:
a) Уязвимость, при которой механизм аутентификации позволяет злоумышленнику получить доступ к учетным записям пользователей. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №66
Вопрос: Как проверить уязвимость Broken Authentication?
Варианты ответов:
a) Попробовать войти с простыми паролями или обойти двухфакторную аутентификацию. ✅
b) Отправить большое количество запросов за короткое время.
c) Загрузить файл с расширением .exe.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №67
Вопрос: Что такое Insufficient Transport Layer Protection?
Варианты ответов:
a) Уязвимость, при которой данные передаются без шифрования или с использованием слабого шифрования. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №68
Вопрос: Как проверить уязвимость Insufficient Transport Layer Protection?
Варианты ответов:
a) Проверить, использует ли сайт шифрование TLS/SSL, и попробовать перехватить данные через HTTP. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №69
Вопрос: Что такое Unvalidated Redirects and Forwards?
Варианты ответов:
a) Уязвимость, при которой сайт перенаправляет пользователя на вредоносный ресурс. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №70
Вопрос: Как защититься от Unvalidated Redirects and Forwards?
Варианты ответов:
a) Валидировать URL-адреса для перенаправлений и использовать белые списки. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №71
Вопрос: Что такое Insecure Deserialization?
Варианты ответов:
a) Уязвимость, при которой злоумышленник может выполнить произвольный код через десериализацию объектов. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №72
Вопрос: Как проверить уязвимость Insecure Deserialization?
Варианты ответов:
a) Передать сериализованный объект с вредоносным кодом и проверить, выполняется ли он. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
Тест №73
Вопрос: Что такое Cross-Site Scripting (XSS)?
Варианты ответов:
a) Уязвимость, при которой злоумышленник внедряет вредоносный JavaScript-код на страницу для выполнения в браузере жертвы. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №74
Вопрос: Как защититься от Cross-Site Scripting (XSS)?
Варианты ответов:
a) Валидировать и экранировать пользовательский ввод, а также использовать Content Security Policy (CSP). ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №75
Вопрос: Что такое SQL Injection?
Варианты ответов:
a) Уязвимость, при которой злоумышленник внедряет вредоносный SQL-код через пользовательский ввод. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №76
Вопрос: Как проверить уязвимость SQL Injection?
Варианты ответов:
a) Добавить специальные символы (например, ' OR '1'='1) в поле ввода и проверить, выполняется ли произвольный запрос. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №77
Вопрос: Что такое Command Injection?
Варианты ответов:
a) Уязвимость, при которой злоумышленник внедряет команды операционной системы через пользовательский ввод. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №78
Вопрос: Как проверить уязвимость Command Injection?
Варианты ответов:
a) В поле ввода добавить команды ОС (например, ; ls или && dir) и проверить, выполняются ли они. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №79
Вопрос: Что такое Server-Side Request Forgery (SSRF)?
Варианты ответов:
a) Атака, при которой злоумышленник заставляет сервер выполнять запросы к внутренним ресурсам. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №80
Вопрос: Как защититься от SSRF?
Варианты ответов:
a) Ограничить доступ к внутренним ресурсам и валидировать входные данные. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №81
Вопрос: Что такое XML External Entity (XXE)?
Варианты ответов:
a) Уязвимость, при которой злоумышленник использует внешние сущности XML для чтения файлов или выполнения команд. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №82
Вопрос: Как проверить уязвимость XXE?
Варианты ответов:
a) Загрузить XML-файл с внешними сущностями (например, <!ENTITY xxe SYSTEM "file:///etc/passwd">) и проверить, читаются ли файлы системы. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №83
Вопрос: Что такое Directory Listing?
Варианты ответов:
a) Уязвимость, при которой сервер отображает содержимое каталога вместо ошибки 403 или 404. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №84
Вопрос: Как защититься от Directory Listing?
Варианты ответов:
a) Отключить вывод содержимого каталогов на сервере. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №85
Вопрос: Что такое Insecure File Upload?
Варианты ответов:
a) Уязвимость, при которой злоумышленник загружает вредоносный файл на сервер. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №86
Вопрос: Как защититься от Insecure File Upload?
Варианты ответов:
a) Ограничить типы загружаемых файлов и проверять их содержимое. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать HTTPS.
Тест №87
Вопрос: Что такое Privilege Escalation?
Варианты ответов:
a) Уязвимость, позволяющая пользователю получить права выше его уровня доступа. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №88
Вопрос: Как проверить уязвимость Privilege Escalation?
Варианты ответов:
a) Попробовать выполнить действия, которые должны быть недоступны для текущей роли пользователя. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Тест №89
Вопрос: Что такое Security Testing Tools?
Варианты ответов:
a) Инструменты, используемые для выявления уязвимостей в системах и приложениях. ✅
b) Инструменты для создания веб-сайтов.
c) Инструменты для шифрования данных.
d) Инструменты для удаления файлов cookies.
Тест №90
Вопрос: Какой инструмент используется для сканирования уязвимостей веб-приложений?
Варианты ответов:
a) OWASP ZAP. ✅
b) Photoshop.
c) Excel.
d) Notepad++.
Тест №91
Вопрос: Что такое Vulnerability Scanning?
Варианты ответов:
a) Процесс автоматического поиска известных уязвимостей в системе или приложении. ✅
b) Процесс шифрования данных.
c) Процесс удаления файлов cookies.
d) Процесс перенаправления пользователя на другой сайт.
Тест №92
Вопрос: Какой инструмент используется для анализа сетевого трафика?
Варианты ответов:
a) Wireshark. ✅
b) Burp Suite.
c) Photoshop.
d) Notepad++.
Тест №93
Вопрос: Что такое Security Headers?
Варианты ответов:
a) HTTP-заголовки, которые добавляют дополнительный уровень защиты веб-приложения. ✅
b) Заголовки, используемые для хранения паролей.
c) Заголовки, которые ускоряют загрузку страницы.
d) Заголовки, используемые для перенаправления пользователя на другой сайт.
Тест №94
Вопрос: Какой заголовок защищает от Clickjacking?
Варианты ответов:
a) X-Frame-Options. ✅
b) Content-Type.
c) Cache-Control.
d) Access-Control-Allow-Origin.
Тест №95
Вопрос: Что такое Session Hijacking?
Варианты ответов:
a) Атака, при которой злоумышленник перехватывает сессию пользователя для получения несанкционированного доступа. ✅
b) Атака, при которой злоумышленник внедряет вредоносный код в базу данных.
c) Атака, при которой злоумышленник перехватывает данные через HTTP.
d) Атака, при которой злоумышленник блокирует доступ к системе.
Тест №96
Вопрос: Как защититься от Session Hijacking?
Варианты ответов:
a) Использовать HTTPS и регулярно обновлять токены сессии. ✅
b) Отключить JavaScript.
c) Удалить все файлы cookies.
d) Использовать слабые пароли.
Тест №97
Вопрос: Что такое Default Credentials?
Варианты ответов:
a) Стандартные логины и пароли, установленные по умолчанию в системах или устройствах. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №98
Вопрос: Как проверить уязвимость Default Credentials?
Варианты ответов:
a) Попробовать войти в систему, используя стандартные логины и пароли (например, admin:admin). ✅
b) Отправить большое количество запросов за короткое время.
c) Загрузить файл с расширением .exe.
d) Изменить параметры пути файла, используя последовательности ../.
Тест №99
Вопрос: Что такое Information Disclosure?
Варианты ответов:
a) Уязвимость, при которой конфиденциальные данные становятся доступными злоумышленникам. ✅
b) Уязвимость, связанная с отсутствием пароля.
c) Уязвимость, связанная с переполнением буфера.
d) Уязвимость, связанная с медленной загрузкой страницы.
Тест №100
Вопрос: Как проверить уязвимость Information Disclosure?
Варианты ответов:
a) Проверить, отображаются ли чувствительные данные в исходном коде страницы или логах. ✅
b) Попробовать войти с пустым паролем.
c) Отправить большое количество запросов за короткое время.
d) Загрузить файл с расширением .exe.
Общие вопросы о тестировании
Вопрос: Что такое баг в контексте разработки программного обеспечения?
Ответ: Баг — это дефект или ошибка в программе, которая приводит к неправильной работе системы.
Вопрос: Какова основная цель тестирования программного обеспечения?
Ответ: Обнаружение и устранение дефектов до выпуска продукта.
Вопрос: Что такое функциональное тестирование?
Ответ: Проверка, соответствует ли программа заявленным требованиям.
Вопрос: Что такое нефункциональное тестирование?
Ответ: Проверка характеристик системы, таких как производительность, безопасность и удобство использования.
Вопрос: Что такое регрессионное тестирование?
Ответ: Проверка, что новые изменения в коде не сломали существующий функционал.
Вопрос: Что такое smoke-тестирование?
Ответ: Быстрая проверка основных функций программы для определения её работоспособности.
Вопрос: Что такое sanity-тестирование?
Ответ: Проверка конкретных изменений или исправлений для подтверждения их корректности.
Вопрос: Что такое пользовательский сценарий?
Ответ: Описание действий пользователя при взаимодействии с системой.
Вопрос: Что такое тест-кейс?
Ответ: Документ, описывающий шаги для проверки определённой функциональности.
Вопрос: Что такое баг-репорт?
Ответ: Документ, содержащий описание найденной ошибки и её параметры.
Классификация и категории багов
Вопрос: Как классифицируются баги по степени серьёзности?
Ответ: Критические, высокие, средние и низкие.
Вопрос: Что такое критический баг?
Ответ: Ошибка, делающая невозможным использование системы.
Вопрос: Что такое high-priority баг?
Ответ: Ошибка, требующая немедленного исправления.
Вопрос: Что такое low-priority баг?
Ответ: Ошибка, которая может быть исправлена позже.
Вопрос: Как классифицируются баги по типу?
Ответ: Функциональные, интерфейсные, производительности и т.д.
Вопрос: Что такое UI-баг?
Ответ: Ошибка, связанная с интерфейсом пользователя.
Вопрос: Что такое логический баг?
Ответ: Ошибка в алгоритме работы программы.
Вопрос: Что такое crash-баг?
Ответ: Ошибка, вызывающая аварийное завершение программы.
Вопрос: Что такое performance-баг?
Ответ: Ошибка, влияющая на производительность системы.
Вопрос: Что такое security-баг?
Ответ: Уязвимость в системе, которая может быть использована злоумышленниками.
Инструменты и технологии
Вопрос: Какие инструменты используются для отслеживания багов?
Ответ: Jira, Bugzilla, Trello.
Вопрос: Что такое Jira?
Ответ: Инструмент для управления задачами и отслеживания багов.
Вопрос: Как создать баг-репорт в Jira?
Ответ: Создать задачу, указать заголовок, описание, приоритет и статус.
Вопрос: Что такое Selenium?
Ответ: Инструмент для автоматизации тестирования веб-приложений.
Вопрос: Для чего используется Postman?
Ответ: Для тестирования API.
Вопрос: Что такое DevTools?
Ответ: Инструменты разработчика в браузере для анализа и отладки веб-страниц.
Вопрос: Какие браузеры поддерживают DevTools?
Ответ: Google Chrome, Firefox, Edge.
Вопрос: Что такое Charles Proxy?
Ответ: Инструмент для анализа сетевого трафика.
Вопрос: Какие инструменты используются для нагрузочного тестирования?
Ответ: JMeter, LoadRunner.
Вопрос: Что такое Fiddler?
Ответ: Программа для анализа HTTP/HTTPS-трафика.
Процессы и методологии
Вопрос: Что такое SDLC?
Ответ: Жизненный цикл разработки программного обеспечения.
Вопрос: Что такое STLC?
Ответ: Жизненный цикл тестирования программного обеспечения.
Вопрос: На каком этапе SDLC начинается тестирование?
Ответ: На этапе планирования.
Вопрос: Что такое Agile?
Ответ: Методология разработки, основанная на итерациях.
Вопрос: Что такое Scrum?
Ответ: Framework внутри Agile для управления проектами.
Вопрос: Кто такой тестировщик в Agile-команде?
Ответ: Специалист, ответственный за тестирование продукта.
Вопрос: Что такое sprint в Scrum?
Ответ: Временной интервал для выполнения задач.
Вопрос: Что такое burndown chart?
Ответ: График, показывающий прогресс выполнения задач.
Вопрос: Что такое backlog?
Ответ: Список задач для реализации в проекте.
Вопрос: Что такое CI/CD?
Ответ: Непрерывная интеграция и доставка.
Типы тестирования
Вопрос: Что такое ручное тестирование?
Ответ: Тестирование, выполняемое человеком без автоматизации.
Вопрос: Что такое автоматизированное тестирование?
Ответ: Тестирование с использованием скриптов и инструментов.
Вопрос: Что такое unit-тестирование?
Ответ: Тестирование отдельных компонентов кода.
Вопрос: Что такое интеграционное тестирование?
Ответ: Проверка взаимодействия между модулями.
Вопрос: Что такое системное тестирование?
Ответ: Проверка всей системы в целом.
Вопрос: Что такое acceptance-тестирование?
Ответ: Проверка готовности продукта к выпуску.
Вопрос: Что такое black-box тестирование?
Ответ: Тестирование без знания внутреннего кода.
Вопрос: Что такое white-box тестирование?
Ответ: Тестирование с учётом внутренней структуры кода.
Вопрос: Что такое grey-box тестирование?
Ответ: Комбинированный подход между black-box и white-box.
Вопрос: Что такое exploratory-тестирование?
Ответ: Тестирование без заранее подготовленных тест-кейсов.
Дополнительные вопросы
Вопрос: Что такое test plan?
Ответ: Документ, описывающий стратегию тестирования.
Вопрос: Что такое traceability matrix?
Ответ: Таблица, связывающая требования с тест-кейсами.
Вопрос: Что такое boundary value analysis?
Ответ: Метод тестирования граничных значений входных данных.
Вопрос: Что такое equivalence partitioning?
Ответ: Разделение входных данных на группы эквивалентности.
Вопрос: Что такое risk-based testing?
Ответ: Тестирование с учётом рисков.
Тестирование веб-приложений
Вопрос: Что такое кросс-браузерное тестирование?
Ответ: Проверка работы веб-приложения в разных браузерах.
Вопрос: Какие основные браузеры нужно тестировать?
Ответ: Google Chrome, Firefox, Safari, Edge.
Вопрос: Что такое адаптивный дизайн?
Ответ: Дизайн, который корректно отображается на устройствах с разными размерами экрана.
Вопрос: Как проверить адаптивность сайта?
Ответ: Использовать DevTools для эмуляции различных устройств.
Вопрос: Что такое HTML-валидация?
Ответ: Проверка HTML-кода на соответствие стандартам.
Вопрос: Что такое CSS-валидация?
Ответ: Проверка CSS-кода на соответствие стандартам.
Вопрос: Какие инструменты используются для проверки производительности веб-сайтов?
Ответ: Google PageSpeed Insights, GTmetrix.
Вопрос: Что такое SEO-тестирование?
Ответ: Проверка оптимизации сайта для поисковых систем.
Вопрос: Как проверить метатеги на сайте?
Ответ: Использовать View Source или специализированные инструменты.
Вопрос: Что такое HTTP-статусы?
Ответ: Коды, указывающие на результат запроса к серверу.
Тестирование мобильных приложений
Вопрос: Что такое эмулятор?
Ответ: Программа, имитирующая работу мобильного устройства.
Вопрос: Какие платформы нужно тестировать для мобильных приложений?
Ответ: iOS и Android.
Вопрос: Что такое гестурное тестирование?
Ответ: Проверка работы жестов (свайпы, тапы).
Вопрос: Какие инструменты используются для тестирования мобильных приложений?
Ответ: Appium, XCTest, Espresso.
Вопрос: Что такое push-уведомления?
Ответ: Уведомления, отправляемые пользователю через приложение.
Вопрос: Как тестировать push-уведомления?
Ответ: Отправить уведомление и проверить его отображение.
Вопрос: Что такое offline-режим?
Ответ: Работа приложения без подключения к интернету.
Вопрос: Как тестировать offline-функционал?
Ответ: Отключить интернет и проверить поведение приложения.
Вопрос: Что такое GPS-тестирование?
Ответ: Проверка работы функций, связанных с геолокацией.
Вопрос: Как тестировать камеру в мобильном приложении?
Ответ: Проверить запуск камеры и обработку изображений.
Тестирование API
Вопрос: Что такое API?
Ответ: Интерфейс для взаимодействия между программами.
Вопрос: Какие методы HTTP чаще всего используются?
Ответ: GET, POST, PUT, DELETE.
Вопрос: Что такое REST API?
Ответ: Архитектурный стиль для создания веб-сервисов.
Вопрос: Что такое SOAP API?
Ответ: Протокол для обмена данными в XML-формате.
Вопрос: Как проверить статус ответа API?
Ответ: Проверить HTTP-код (например, 200 — успех).
Вопрос: Что такое JSON?
Ответ: Формат данных для передачи информации.
Вопрос: Какие инструменты используются для тестирования API?
Ответ: Postman, Swagger, SoapUI.
Вопрос: Что такое endpoint?
Ответ: URL, по которому доступен API.
Вопрос: Как проверить тело ответа API?
Ответ: Сравнить полученные данные с ожидаемыми.
Вопрос: Что такое payload в API?
Ответ: Данные, отправляемые в теле запроса.
Тестирование баз данных
Вопрос: Что такое SQL?
Ответ: Язык запросов для работы с базами данных.
Вопрос: Какие типы баз данных существуют?
Ответ: Реляционные (MySQL, PostgreSQL) и нереляционные (MongoDB).
Вопрос: Что такое CRUD?
Ответ: Операции: Create, Read, Update, Delete.
Вопрос: Как проверить целостность данных?
Ответ: Выполнить запрос и сравнить результаты с ожидаемыми.
Вопрос: Что такое индекс в базе данных?
Ответ: Структура для ускорения поиска данных.
Вопрос: Как проверить производительность запроса?
Ответ: Измерить время выполнения запроса.
Вопрос: Что такое транзакция?
Ответ: Группа операций, которые выполняются как единое целое.
Вопрос: Что такое rollback?
Ответ: Отмена транзакции в случае ошибки.
Вопрос: Какие инструменты используются для тестирования баз данных?
Ответ: MySQL Workbench, pgAdmin, DBeaver.
Вопрос: Что такое primary key?
Ответ: Уникальный идентификатор записи в таблице.
Дополнительные вопросы
Вопрос: Что такое логирование?
Ответ: Запись событий системы для анализа.
Вопрос: Как использовать логи для поиска багов?
Ответ: Анализировать сообщения об ошибках и предупреждения.
Вопрос: Что такое мониторинг системы?
Ответ: Непрерывное наблюдение за состоянием системы.
Вопрос: Какие инструменты используются для мониторинга?
Ответ: Prometheus, Grafana, New Relic.
Вопрос: Что такое root cause analysis?
Ответ: Процесс выявления первопричины проблемы.
Кейс 1: Проблема с авторизацией
Цель: Выявить причину невозможности входа в систему.
Ситуация: Пользователи сообщают, что не могут войти в систему через форму авторизации. Ошибок в интерфейсе нет, но система выдает сообщение "Неверный логин или пароль".
Задание:
Воспроизведите проблему.
Проверьте работу API авторизации.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Выявлено, что проблема связана с регистрацией пользователей без шифрования паролей. Баг-репорт передан разработчикам.
Кейс 2: Ошибка загрузки изображений
Цель: Исследовать проблему с загрузкой файлов на сервер.
Ситуация: При попытке загрузить изображение на сайт появляется ошибка "Не удалось загрузить файл". Файлы других форматов загружаются корректно.
Задание:
Проверьте, какие форматы поддерживаются.
Проанализируйте логи сервера.
Опишите шаги воспроизведения проблемы.
Уровень сложности: Начальный.
Результат: Обнаружено, что сервер не поддерживает формат PNG. Баг-репорт направлен команде разработчиков.
Кейс 3: Проблема с кнопкой отправки формы
Цель: Найти причину недоступности кнопки отправки.
Ситуация: На сайте кнопка отправки данных в форме недоступна для кликов, даже если все поля заполнены.
Задание:
Проверьте HTML-код кнопки.
Убедитесь, что JavaScript выполняется корректно.
Составьте отчет об ошибке.
Уровень сложности: Начальный.
Результат: Обнаружено, что атрибут disabled не удаляется при заполнении полей. Разработчики исправили проблему.
Кейс 4: Ошибка в работе фильтра товаров
Цель: Исследовать проблему с фильтрацией товаров на сайте.
Ситуация: При выборе фильтра "Цена до 1000 рублей" система показывает товары стоимостью выше указанного значения.
Задание:
Проверьте запросы к базе данных.
Воспроизведите проблему.
Опишите шаги воспроизведения и предположительную причину.
Уровень сложности: Начальный.
Результат: Обнаружено, что условие фильтрации неверно настроено в SQL-запросе. Разработчики исправили запрос.
Кейс 5: Проблема с переходом между страницами
Цель: Выявить причину некорректной работы навигации.
Ситуация: При переходе со страницы каталога на страницу товара возникает ошибка "Страница не найдена".
Задание:
Проверьте URL-адреса страниц.
Проверьте маршрутизацию на стороне сервера.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что некоторые ссылки содержат лишние символы. Проблема исправлена.
Кейс 6: Не работает кнопка "Добавить в корзину"
Цель: Исследовать проблему с добавлением товаров в корзину.
Ситуация: При нажатии на кнопку "Добавить в корзину" товар не добавляется, но сообщение об успехе отображается.
Задание:
Проверьте работу JavaScript.
Проверьте запросы к серверу.
Опишите шаги воспроизведения.
Уровень сложности: Начальный.
Результат: Обнаружено, что запрос на добавление товара не отправляется. Разработчики исправили код.
Кейс 7: Проблема с языковой локализацией
Цель: Выявить причину неправильного отображения текста на разных языках.
Ситуация: На сайте текст на английском языке отображается корректно, но перевод на русский язык содержит ошибки.
Задание:
Проверьте файлы локализации.
Убедитесь, что переводы применяются правильно.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что некоторые ключи перевода отсутствуют. Проблема исправлена.
Кейс 8: Ошибка в работе калькулятора
Цель: Исследовать проблему с расчетом итоговой суммы.
Ситуация: На сайте калькулятор показывает неправильную сумму при добавлении нескольких товаров.
Задание:
Проверьте логику расчета.
Воспроизведите проблему.
Опишите шаги воспроизведения.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с округлением значений. Разработчики исправили алгоритм.
Кейс 9: Проблема с мобильной версией сайта
Цель: Выявить причину некорректного отображения элементов на мобильных устройствах.
Ситуация: На мобильных устройствах кнопки и тексты выходят за пределы экрана.
Задание:
Проверьте адаптивность дизайна.
Используйте DevTools для анализа.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с неправильными CSS-стилями. Разработчики исправили дизайн.
Кейс 10: Ошибка в работе чекбоксов
Цель: Исследовать проблему с работой чекбоксов.
Ситуация: При выборе нескольких чекбоксов в фильтре отображаются только первые выбранные значения.
Задание:
Проверьте HTML-код.
Проверьте работу JavaScript.
Опишите шаги воспроизведения.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с обработкой событий. Разработчики исправили код.
Кейс 11: Проблема с загрузкой видео
Цель: Выявить причину медленной загрузки видео.
Ситуация: Видео на сайте долго загружается, что вызывает недовольство пользователей.
Задание:
Проверьте размер видеофайлов.
Проверьте настройки CDN.
Составьте рекомендации по оптимизации.
Уровень сложности: Начальный.
Результат: Обнаружено, что видео не оптимизированы для потоковой передачи. Разработчики внедрили решение.
Кейс 12: Проблема с отправкой email
Цель: Выявить причину, по которой пользователи не получают email-уведомления.
Ситуация: Пользователи жалуются, что после регистрации они не получают письма с подтверждением.
Задание:
Проверьте логи отправки email.
Убедитесь, что почтовый сервер работает корректно.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с неверной настройкой SMTP-сервера. Разработчики исправили конфигурацию.
Кейс 13: Ошибка в работе капчи
Цель: Исследовать проблему с прохождением капчи.
Ситуация: Пользователи сообщают, что капча не загружается или не реагирует на действия.
Задание:
Проверьте работу JavaScript-библиотеки капчи.
Воспроизведите проблему.
Опишите шаги воспроизведения.
Уровень сложности: Начальный.
Результат: Обнаружено, что капча не загружается из-за блокировки сторонними расширениями. Баг-репорт передан разработчикам.
Кейс 14: Проблема с отображением таблицы данных
Цель: Выявить причину некорректного отображения данных в таблице.
Ситуация: На странице отчетов данные в таблице отображаются частично или с ошибками.
Задание:
Проверьте запросы к базе данных.
Проверьте HTML-код таблицы.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с ограничением количества строк в запросе. Разработчики устранили ограничение.
Кейс 15: Проблема с работой выпадающего меню
Цель: Исследовать проблему с выпадающим меню.
Ситуация: При наведении курсора на элемент меню выпадающий список не появляется.
Задание:
Проверьте CSS-стили.
Проверьте работу JavaScript.
Воспроизведите проблему.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с неправильным z-index. Разработчики исправили стили.
Кейс 16: Ошибка в работе формы обратной связи
Цель: Выявить причину, по которой форма обратной связи не отправляет данные.
Ситуация: Пользователи сообщают, что при заполнении формы обратной связи данные не отправляются, но сообщение об успехе отображается.
Задание:
Проверьте работу JavaScript.
Проверьте запросы к серверу.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что запрос на отправку данных не выполняется. Разработчики исправили код.
Кейс 17: Проблема с отображением карты
Цель: Исследовать проблему с отображением интерактивной карты.
Ситуация: Карта на сайте не загружается или отображается некорректно.
Задание:
Проверьте API карты (например, Google Maps).
Проверьте ключ API.
Воспроизведите проблему.
Уровень сложности: Начальный.
Результат: Обнаружено, что ключ API недействителен. Разработчики обновили ключ.
Кейс 18: Ошибка в работе поиска
Цель: Выявить причину некорректной работы поиска.
Ситуация: При использовании поиска на сайте результаты не соответствуют запросу пользователя.
Задание:
Проверьте алгоритм поиска.
Проверьте запросы к базе данных.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с неверной настройкой индексации. Разработчики исправили алгоритм.
Кейс 19: Проблема с регистрацией пользователей
Цель: Исследовать проблему с регистрацией новых пользователей.
Ситуация: При попытке зарегистрироваться система выдает ошибку "Пользователь уже существует", даже если такого пользователя нет.
Задание:
Проверьте уникальность полей в базе данных.
Проверьте логику регистрации.
Воспроизведите проблему.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с проверкой существующих пользователей. Разработчики исправили код.
Кейс 20: Ошибка в работе пагинации
Цель: Выявить причину некорректной работы пагинации.
Ситуация: На страницах с большим количеством данных пагинация отображает неправильное количество страниц.
Задание:
Проверьте логику расчета страниц.
Проверьте запросы к базе данных.
Составьте баг-репорт.
Уровень сложности: Начальный.
Результат: Обнаружено, что проблема связана с округлением значений. Разработчики исправили алгоритм.
Ролевая игра 1: "Охота за багами в команде разработчиков"
Цель: Научить студентов взаимодействовать с командой разработчиков при обнаружении ошибок.
Уровни сложности:
Начальный: Работа с простыми ошибками интерфейса.
Средний: Анализ логов и запросов к серверу.
Высокий: Поиск сложных логических ошибок.
Для усложнения: Добавить конфликтные ситуации между тестировщиком и разработчиками.
Сценарий: Студент выступает в роли баг-хантера, который находит ошибку в работе сайта. Ему нужно составить баг-репорт и убедить разработчиков исправить проблему.
Требуется: Баг-репорт, описание шагов воспроизведения, аргументация важности исправления.
Критерии оценки: Полнота баг-репорта, способность аргументировать, эффективность коммуникации.
Результат: Участник научится составлять четкие баг-репорты и работать в команде.
Ролевая игра 2: "Тестирование нового приложения"
Цель: Оценить навыки ручного тестирования функционала приложения.
Уровни сложности:
Начальный: Тестирование базовых функций (регистрация, авторизация).
Средний: Тестирование интеграций (API, базы данных).
Высокий: Тестирование производительности и безопасности.
Для усложнения: Добавить ограничение по времени или недостаточную документацию.
Сценарий: Студент выступает в роли тестировщика, которому поручено проверить новое приложение перед выпуском.
Требуется: Список тест-кейсов, найденные ошибки, рекомендации по улучшению.
Критерии оценки: Количество найденных ошибок, качество тест-кейсов, полнота отчета.
Результат: Участник научится составлять тест-кейсы и находить ошибки.
Ролевая игра 3: "Конфликт с заказчиком"
Цель: Научить студентов взаимодействовать с заказчиком при обсуждении ошибок.
Уровни сложности:
Начальный: Обсуждение простых ошибок.
Средний: Обсуждение критических ошибок.
Высокий: Обсуждение ошибок, влияющих на бизнес.
Для усложнения: Заказчик не принимает ошибки как критичные.
Сценарий: Студент выступает в роли баг-хантера, который должен объяснить заказчику, почему найденная ошибка требует немедленного исправления.
Требуется: Аргументация, примеры последствий ошибки, предложения по решению.
Критерии оценки: Убедительность аргументации, способность найти компромисс, профессионализм.
Результат: Участник научится эффективно общаться с заказчиками.
Ролевая игра 4: "Анализ логов"
Цель: Научить студентов анализировать логи для поиска ошибок.
Уровни сложности:
Начальный: Анализ простых логов.
Средний: Анализ логов с большим объемом данных.
Высокий: Анализ логов в реальном времени.
Для усложнения: Логи содержат ошибки на разных уровнях системы.
Сценарий: Студент выступает в роли аналитика, который должен найти причину сбоя системы, используя логи.
Требуется: Отчет с указанием найденных ошибок и их причин.
Критерии оценки: Точность анализа, скорость работы, полнота отчета.
Результат: Участник научится анализировать логи и находить причины ошибок.
Ролевая игра 5: "Тестирование мобильного приложения"
Цель: Оценить навыки тестирования мобильных приложений.
Уровни сложности:
Начальный: Тестирование базовых функций.
Средний: Тестирование на разных устройствах.
Высокий: Тестирование производительности и безопасности.
Для усложнения: Приложение содержит скрытые ошибки.
Сценарий: Студент выступает в роли тестировщика, которому поручено проверить мобильное приложение перед выпуском.
Требуется: Список тест-кейсов, найденные ошибки, рекомендации по улучшению.
Критерии оценки: Количество найденных ошибок, качество тест-кейсов, полнота отчета.
Результат: Участник научится тестировать мобильные приложения.
Ролевая игра 6: "Автоматизация тестирования"
Цель: Научить студентов использовать инструменты автоматизации.
Уровни сложности:
Начальный: Написание простого скрипта.
Средний: Написание комплексного скрипта.
Высокий: Интеграция скрипта в CI/CD.
Для усложнения: Добавить ошибки в скрипт, которые нужно исправить.
Сценарий: Студент выступает в роли автоматизатора, который должен написать скрипт для тестирования функционала.
Требуется: Готовый скрипт, отчет о выполнении.
Критерии оценки: Корректность скрипта, скорость выполнения, полнота отчета.
Результат: Участник научится писать скрипты для автоматизации.
Нет элементов для просмотра