4/21/23, 6:57 PM Backend Security Testing (page 1 of 4)

Time left 0:02:35

Question 1

Answer saved

Marked out of 1.00

Dự án cần lựa chọn phương án để mã hóa giá trị căn cước công dân trong database, phương án mã hóa nào sau đây là hợp lý và an toàn?

Select one:

AES 256 bit

SHA512

RSA 4096 bit

Bcrypt

Clear my choice

Question 2

Answer saved

Marked out of 1.00

Biện pháp sử dụng để chống tấn công SQL Injection là?

Select one:

Phân quyền chặt chẽ trên database

Lọc dữ liệu đầu vào

Sử dụng phiên bản database mới nhất

Generate token trước khi truy vấn CSDL và kiểm tra token trả về

Clear my choice

Question 3

Answer saved

Marked out of 1.00

Một hệ thống ví điện tử khi chuyển tiền cần SMS OTP, phương án nào dùng để bảo vệ tài khoản người dùng?

Select one or more:

Khi quên mật khẩu thì gửi SMS OTP để chắc chắn

Khi quên mật khẩu thì cần có captcha

Khi quên mật khẩu cần có câu hỏi bảo mật

Khi quên mật khẩu cần ekyc lại

https://daotao.ghtklab.com/mod/quiz/attempt.php?attempt=537&cmid=21#question-655-1 1/4
4/21/23, 6:57 PM Backend Security Testing (page 1 of 4)

Question 4

Answer saved

Marked out of 1.00

Ứng dụng có sử dụng mã hóa với dữ liệu trong database, trong quá trình xử lý và trao đổi dữ liệu thì cần sử dụng key để mã hóa/giải mã,
phương án lưu trữ key nào trong các phương án trên là hợp lý nhất?

Select one:

Lưu trữ trong enviroment

Lưu trữ trên trình duyệt người dùng

Lưu trữ cùng database chứa dữ liệu đã mã hóa nhưng trong table khác

Chỉ cần sử dụng mã hóa khóa công khai, khi đó sẽ không cần quan trọng lưu trữ

Clear my choice

Question 5

Answer saved

Marked out of 1.00

Content Security Policy (CSP) là gì?

Select one:

Là cơ chế chống tấn công XSS

Là cơ chế nén file javascript

Là cơ chế mã hóa file Javascript

Là header để chống tấn công CORS

Clear my choice

Question 6

Answer saved

Marked out of 1.00

Các biện pháp để tăng cường tính an toàn cho xác thực đa nhân tố là?

Select one or more:

Gửi thông tin 2factor qua đường riêng biệt với phương thức xác thực

Hash OTP rồi mới lưu trữ

Giảm thời gian sống của OTP

Nhập OTP trước rồi mới nhập password

https://daotao.ghtklab.com/mod/quiz/attempt.php?attempt=537&cmid=21#question-655-1 2/4
4/21/23, 6:57 PM Backend Security Testing (page 1 of 4)

Question 7

Answer saved

Marked out of 1.00

Các HTTP Header nào sau đây không được tùy biến giá trị bằng javascript trên trình duyệt cài đặt mặc định?

Select one or more:

Origin

Cookie

Referer

UserAgent

Question 8

Answer saved

Marked out of 1.00

Hệ thống Backend sử dụng xác thực token JWT của GHTK ID, phương án nào sau đây để logout ứng dụng?

Select one:

Trả về yêu cầu để ứng dụng mobile hoặc web xóa token

Tạo một token JWT mới, với giá trị expire set là đã hết hạn (thời gian trong quá khứ) và trả về

Xóa token trong database

Lưu token vào blacklist, sau đó kiểm tra blacklist trước khi kiểm tra token

Clear my choice

Question 9

Answer saved

Marked out of 1.00

Phương pháp nào sau đây dùng để chống lỗ hổng CSRF (Cross Site Request Forgery)

Select one:

Kiểm tra kỹ dữ liệu đầu vào

Không sử dụng javascript

Set Cookie là HTTP Only

Sử dụng token ngẫu nhiên gửi về cho trình duyệt và kiểm tra token gửi lên ở request tiếp theo

Clear my choice

https://daotao.ghtklab.com/mod/quiz/attempt.php?attempt=537&cmid=21#question-655-1 3/4
4/21/23, 6:57 PM Backend Security Testing (page 1 of 4)

Question 10

Answer saved

Marked out of 1.00

Cho api như sau: GET /my-user-info trả về thông tin của user hiện tại, nhưng khi truyền thêm param ?user_id=123 thì lại thấy trả về thông tin
của user 123, đây là lỗ hổng gì?

Select one:

Lỗ hổng Param Injection

Lỗ hổng XSS

Lỗ hổng database

Lỗ hổng phân quyền

Clear my choice

https://daotao.ghtklab.com/mod/quiz/attempt.php?attempt=537&cmid=21#question-655-1 4/4