- Mi a dinamikus weboldalak alapját szolgáló HTTP metódus? Mutassa be a működését.
- Miért van szükség dinamikus weboldalak (pl. .php kiterjesztésű fájlok) futtatásához külön programra? Ismertessen pár alternatívát.
- Mutassa be mi a különbség a dev-server és a prod-server között.
- Hogyan épül fel egy GET request? Mutasson rá konkrét példát.
- Honnan eredeztethetjük egy weboldal sérülékenységét?
- Mi az alapja a webes támadásoknak?
- Mit jelképez a Pareto 80/20 elv a szoftvertervezés és -fejlesztésben?
- Mit csinál egy etikus hacker? Mire kell figyelni felbérlése során?
- Mely két oldalról támadható egy weboldal?
- Mit rövidít a HTTP? Mit ír le? Miben másabb a HTTPS?
- Ismertessen pár HTTP status code-ot.
- Például mi található egy HTTP header-ben?
- Hogyan feleltethetők meg a HTTP metódusok az alap API műveleteknek?
- Mi az a Swagger és mire használható?
- A HTTP milyen jogosultságkezelést tesz lehetővé, mi az előnye/hátránya?
- Honnan tudjuk HTTPS esetén, hogy biztonságos az oldal? Mi alapján működik (SSL)?
- Mi a különbség a TCP és az UDP protokollok között? Melyik mikor használatos?
- Mi a titkosítás elve és lényege?
- Milyen titkosító algoritmusokat tudunk csoportosítani?
- Hogy működik a Caesar, Csoportos, Vigenére titkosítás?
- Mi a szimmetrikus/asszim. kulcsú titkosítás elve, előnye, hátránya?
- Mutassa be az SSH kulcsot, annak felhasználási módjait és elvét.
- Mutassa be a token alapú azonosítást, annak felhasználási módjait és elvét, valamint konkrét példát.
- Mutassa be a JWT-t (rövidítés, koncepció, működési elv, felépítés).
- Mutassa be az API key és a token alapú authentikáció közötti különbséget.
- Mi a hash-elés? Mire használjuk? Hol van kiemelten fontos szerepe?
- Mit jelent a 256 bites titkosítás? Mutassa be egy szemléletes példával jelszavak esetén.
- Mi a különbség a hash-elés és a titkosítás között? Mutasson rá 1-1 szemléletes példát, felhasználási módot.
- Ismertesse a hash-elés, sózás és borsozás folyamatokat (példával).
- Milyen módszerekkel lehet a jelszavakat támadni, törni?
- Mi a man-in-the-middle támadás elve? Hogyan lehet védekezni ellene?
- Mi a portscan? Hogyan lehet védekezni ellene?
- Ismertesse a social engineering lényegét, különböző válfajait/módszereit!
- Hogyan működik a DNS mérgezés és a hosts file módosítás? Mi a lényegük az ilyen jellegű támadásoknak?
- Mi a DOS és DDOS rövidítések jelentése, célja és működése?
- Mit használ ki a Slow Loris DOS támadás?
- A session hijacking min alapszik? Hogyan kapcsolódik ez a cookie-khoz?
- Mutassa be az SQL injection támadási módszert valamint a védekezést ellene.
- Hogyan definiálható a formok használata sérülékenységi, támadási oldalról egy weboldal esetén? Milyen technikákat ismer amelyekkel kárt lehet tenni ezekben? Hogyan lehet védekezni?
- Mi a JavaScript, miért fontos a támadások (pl. XSS) esetén? Milyen alap védekezéseket ismer?
- Ismertesse az XSS működését.
- Mutassa be a CSRF működését.
- Hasonlítsa össze a működést a CSRF és XSS esetén.
- Mi a több faktoros authentikáció célja és elve? Hogyan kapcsolódik ez a biztonsághoz? Milyen módszereket ismer ilyen célra?
- Milyen előnyökkel, hátrányokkal jár nyelvi framework-ök használata?
- Mik a template engine-k, hogyan és hol lehet ezeket használni? Mutasson be egy nagyon pici példát kóddal.
- Mi az, hogy verziókövetés? Milyen eszközökkel érhető el és miért előnyös ennek használata?
- Minek a rövidítése az AJAX? Miért előnyös az efféle technológia alkalmazása számunkra? Mondjon rá egy példát, hogy hol találkozhatunk vele.
- Mi a JSON és mire használatos?
- Mi a különbség a framework és a cms között? **
- Mi a tesztelés szoftverek esetén? Milyen csoportosításokat és típusokat ismer? Röviden jellemezze is őket. Miért fontos a tesztelés?
- Milyen tervezési mintákat ismer? Mi a céljuk ezeknek? Ismertesse az MVC és MVVM tervezési mintákat részletesen.
- Mit jelent az API-first megközelítés? Mutassa meg, hogy a hagyományos (code first) megközelítéshez képest miben másabb.
- Miért érdemes (vagy nem érdemes) 3rd party szolgáltatásokat használni, biztonságtechnikai oldalról nézve?
Created
March 3, 2021 21:10
-
-
Save siposm/0965c58bc076c49690e8fff64292ce31 to your computer and use it in GitHub Desktop.
WEBSEC
1. Mutassa be a HTTP protokollt valamint annak sérülékenységi oldalát és az arra szolgáló megoldást.
- Ismertesse a HTTP és HTTPS, valamint a TCP és UDP közti különbséget.
- Ismertesse a HTTP status code-okat, azok szerepét a fejlesztésben.
- Ismertesse a HTTP metódusokat és azok felhasználását API fejlesztésben.
2. Mutassa be, hogy a webes támadásoknak milyen fő kategóriáit különböztethetjük meg és az egyes kategóriákba jellemezzen is pár példa támadási módszert.
- Ismertesse a MITM támadást és annak kivédését.
- Ismertesse a CSRF és XSS támadást, valamint a köztük tehető különbséget.
- Ismertesse a session hijacking támadást és annak kivédését.
- Ismertesse a DOS támadást valamint alfajait.
- Ismertesse az SQL injection támadást és annak kivédését.
- Ismertesse a különbséget a szimmetrikus kulcsúhoz képest.
- Ismertesse az SSH kulcsot és annak működését.
- Ismertesse a token alapú aznosítást (TBA) és annak működését egy példával (JWT).
- Ismertesse a TBA és az API Key különbségeit.
- Ismertesse a többfaktoros authentikációt és konkrét megvalósítási módszereit.
- Ismertesse a hash függvények jellemzőit és konkrétan az SHA256-ot.
- Ismertesse a sózás (salting) és borsozás (peppering) módszereket.
- Ismertesse a jelszavak támadására ismert módszereket, azokat röviden jellemezze is.
- Ismertesse a tesztelési csoportosításokat és azokból emeljen ki pár fontosabb konkrét teszt típust (röviden jellemezze is őket).
- Ismertesse az MVC és MVVM tervezési mintákat.
- Ismertesse, hogy a tervezési minták hogyan kapcsolhatók a teszteléshez.
- Ismertesse a REST fogalmat és a hozzá kapcsolódó gondolatokat (REST API előtti és utáni webfejlesztés folyamatát).
- Ismertesse a Template engine-k működését és jelentőségét.
- Ismertesse az API-first approach alapú fejlesztést valamint a hagyományos code-first alapút.
- Ismertesse a Swagger és Postman célszoftverek lényegét.
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
A fenti kérdések (
questions-extraction
) segítenek rávezetni az egyes anyagrészek lényegére, azonban fontos megjegyezni, hogy azok az anyagrészek is kellenek -- csak úgy képzik a tudás teljes egészét -- amelyekre az egyes kérdések konkrétan nem kérdeznek rá!A záróvizsga tételek (
thesis-topics
) az anyag bizonyos részeit nem kérik számon konkrétan, viszont a megértéshez természetesen hozzátartoznak.