Вопросы к экзамену (осень)

  1. Основные задачи информационной безопасности. Конфиденциальность, целостность, доступность данных и программ. Понятие политики безопасности.
  2. Методы обеспечения информационной безопасности – криптография, модели безопасности, контроль поведения.
  3. Шифрование – краткая история. Сдвиг и перестановка. Симметричные и асимметричные шифры. Примеры алгоритмов.
  4. Алгоритм AES.
  5. Алгоритм RSA.
  6. Хэширование. Основные современные хэш-функции.
  7. Криптоанализ. Простейший частотный анализ, атаки на криптографические протоколы.
  8. Применение криптографии в сетях. SSL/TLS, ЭЦП, протоколы аутентификации, управление доверием. Примеры атак – перебор по словарю, rainbow таблицы.
  9. Язык ассемблера. Синтаксисы Intel и AT&T. Ассемблер as. Дизассемблирование.

  10. Устройство процессора. Регистры, оперативная память, порты ввода/вывода, прерывания. Стек.
  11. Подпрограммы и функции. Передача аргументов, возврат значения. Системные вызовы.
  12. Размещение объектов в памяти: статическое, динамическое, автоматическое.
  13. Загрузчик программных модулей. Формат исполняемых файлов ELF. Зависимости модулей. Символы. Утилиты objdump и ldd.
  14. Уязвимости, связанные с переполнением буфера. Варианты.
  15. Уязвимости, связанные с подменой программных модулей. Уязвимости, связанные с некорректной проверкой прав доступа, TOCTOU.
  16. Уязвимости переполнения кучи. Эксплуатация для случая dlmalloc.
  17. Защитное программирование. Статический и динамический анализ программ. Фаззинг.
  18. Защитное программирование. Методологии проектирования и тестирования. Microsoft SDL.
  19. Формальные модели доступа. Дискреционные, мандатные модели. Модели Бела-ЛаПадулы, Биба. Ролевой доступ.

  20. Типовая дискреционная модель доступа в UNIX. Суперпользователь. Атрибуты SetUID и SetGID.
  21. Мандатный и ролевой доступ в Linux. SELinux: DAC, RBAC и MLS, ACL в некоторых файловых системах.

Вопросы к экзамену (весна)

  1. Стек протоколов TCP/IP. Модель DoD, протоколы IP, TCP, UDP.
  2. Уровень приложений, общие принципы: ASCII-протоколы, бинарные протоколы, XML, JSON. Примеры: HTTP, FTP, SMTP, SSH.
  3. Настройка AAA в сетях Linux-машин. SSH, Radius, TACACS+.
  4. Межсетевые экраны, основные классы. Встроенный межсетевой экран в ОС Linux, настройка и примеры.
  5. Системы обнаружения атак, основные классы. Сетевые, узловые и гибридные системы, WAF. Настройка Snort, примеры.
  6. Трассировка с помощью утилит strace, netstat, lsof.
  7. Контроль поведения программ в Linux – SELinux.
  8. Принципы работы основных веб-технологий: протокола HTTP, мехнизма реализации сеансов cookies, набора технологий HTML 4 (объектная модель документа + CSS + язык javascript).
  9. Методы обнаружения и эксплуатации распространенных уязвимостей веб-приложений: XSS.
  10. Методы обнаружения и эксплуатации распространенных уязвимостей веб-приложений: SQL injection.
  11. Методы обнаружения и эксплуатации распространенных уязвимостей веб-приложений: CSRF.
  12. Методы обнаружения и эксплуатации распространенных уязвимостей веб-приложений: FI/RFI.

Infosec: quiz (last edited 2011-12-18 18:52:47 by Dennis Gamayunov)