Utmaningar

05-01: Vad är standardvärdet för sameSite i cookies?

A) LAX B) Strict C) None D) Secure E) Optional

SvarStandardvärdet för sameSite i cookies är LAX. Detta är en säkerhetsåtgärd som hjälper till att förhindra CSRF-attacker genom att kontrollera hur cookies skickas med förfrågningar från tredje part.

05-02: Hur skyddar vi vår applikation mot XSS-attacker?

  • A) Filtrera input på klienten
  • B) Filtrera input på servern
  • C) Escape output på servern
  • D) Använda en Content Security Policy (CSP)
Svar

För att skydda en applikation mot XSS-attacker bör man använda en Content Security Policy (CSP). CSP är en effektiv åtgärd för att begränsa vilka typer av resurser som får laddas eller exekveras, vilket minskar risken för skadlig kodexekvering.

Vi kan också skydda oss genom att på servern filtrera input och escapa output.

05-03: En XSS-attack beskrivs bäst som

  • A) En attack där angriparen tar kontroll över en användares cookies
  • B) En attack där angriparen kan exekvera skript på klienten
  • C) En attack där angriparen kan injicera frågor till en databas
  • D) En attack där angriparen kan avkoda en användares lösenord
SvarEn XSS-attack (Cross-Site Scripting) beskrivs bäst som en attack där angriparen kan exekvera skript på klienten. Detta innebär att angriparen kan köra skadlig kod i användarens webbläsare.

05-04: När vi använder en "allow list", gör vi...

  • A) Filtrerar ut dåliga tecken
  • B) Definierar vad en specifik användare kan göra i vår webbapplikation
  • C) Filtrerar ut allt förutom vissa tecken
  • D) Hashar användares lösenord
Svar

När vi använder en "allow list" filtrerar vi ut allt förutom vissa tecken. Det innebär att endast de tecken eller värden som uttryckligen tillåts passerar filtret, vilket bidrar till att öka säkerheten.

05-05: Vilken är den högsta säkerhetsrisken i webbapplikationer enligt OWASP 2021?

  • A) Injection
  • B) Kontoövertagande
  • C) Bruten åtkomstkontroll
  • D) Osäker design
SvarEnligt OWASP 2021 är den högsta säkerhetsrisken i webbapplikationer "Bruten åtkomstkontroll". Detta innebär att systemets åtkomstkontroller är otillräckliga eller implementerade felaktigt, vilket gör det möjligt för obehöriga att få tillgång till känslig information eller funktioner.

05-06: Vad används när vi krypterar kommunikationen mellan en webbserver och dess klienter?

  • A) Asymmetrisk kryptering
  • B) Symmetrisk kryptering
  • C) HTTPS-protokoll
  • D) SSL/TLS-certifikat
SvarA, B, C och D.

För att kryptera kommunikationen mellan en webbserver och dess klienter används vanligen SSL/TLS-certifikat tillsammans med HTTPS-protokollet. Dessa tekniker säkerställer att data som överförs är krypterad och skyddad från obehörig åtkomst. Krypteringen inleds med en asymetrisk kryptering som övergår till en symmetrisk.