منذ أسبوع
أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :
تغطية تفصيلية لنطاق الاختبار- أساسيات Angular Security (30%)
- المواضيع: أمان ربط البيانات، فهم بنية أمان Angular، نمذجة التهديدات لتطبيقات Angular.
- منع ثغرات الويب الشائعة (40%)
- المواضيع: تخفيف البرمجة النصية عبر المواقع (XSS)، تزوير الطلبات عبر المواقع حماية (CSRF) والتعامل الآمن مع مدخلات المستخدم.
- التطوير الآمن وأفضل الممارسات (30%)
- المواضيع: ممارسات الترميز الآمن لـ Angular، استخدام المطهر المدمج في Angular، وأنماط المصادقة والترخيص.
- السؤال 1: أي من الآليات Angular التالية مصممة خصيصًا لتجريد الأحرف التي يحتمل أن تكون خطرة تلقائيًا من قيم HTML المرتبطة ديناميكيًا لمنع البرمجة النصية عبر المواقع (XSS)؟
- أ) Angular HttpClientModule
- ب) Angular HttpInterceptor
- ج) Angular DomSanitizer
- D) Angular Route Guards
- E) Angular ngModel
- F) تكوينات سياسة أمان المحتوى الزاوي (CSP)
- الإجابة الصحيحة: C) Angular DomSanitizer
- الشرح:
- A غير صحيح لأن HttpClientModule يتعامل مع اتصالات HTTP، وليس تعقيم DOM.
- B غير صحيح لأن يعترض HttpInterceptors طلبات واستجابات HTTP ويعدلها، وليس روابط HTML.
- يعد C صحيحًا لأن DomSanitizer الخاص بـ Angular يقوم تلقائيًا بفحص القيم غير الموثوق بها ويزيل البرامج النصية أو الأنماط الضارة قبل إدخالها في DOM، مما يخفف بشكل فعال من هجمات XSS.
- D غير صحيح لأن Route Guards يمنع التنقل غير المصرح به، وليس تنفيذ تعليمات برمجية ضارة في القوالب.
- E غير صحيح لأنه يتم استخدام ngModel لـ ربط البيانات في اتجاهين، وليس التعقيم الأمني.
- F غير صحيح لأنه على الرغم من أن CSP يمثل طبقة أمان مهمة، إلا أنه رأس HTTP يتم تسليمه بواسطة الخادم، وليس آلية Angular داخلية.
- السؤال 2: عند تنفيذ حماية تزوير طلب المواقع المشتركة (CSRF) في تطبيق Angular، كيف تتعامل وحدة HttpClient مع رمز XSRF المميز الافتراضي؟
- أ) يقرأ رمزًا مميزًا من التخزين المحلي ويرسله في رأس التفويض.
- ب) يقرأ تلقائيًا ملف تعريف الارتباط المسمى XSRF-TOKEN ويرسله كرأس HTTP يسمى X-XSRF-TOKEN على الطلبات المتغيرة.
- ج) ينشئ رمزًا مميزًا آمنًا جديدًا في كل طلب ويلحقه بمعلمات URL.
- د) يعتمد بالكامل على الواجهة الخلفية للتنفيذ والتحقق من صحة الرؤوس الأصلية دون تدخل من جانب العميل.
- هـ) يقوم بإنشاء حقل نموذج مخفي باستخدام رمز CSRF لكل طلب POST يتم إرساله.
- F) يعترض جميع الطلبات ويشفر الحمولة باستخدام AES-256 قبل الإرسال.
- الإجابة الصحيحة: ب) يقرأ تلقائيًا ملف تعريف الارتباط المسمى XSRF-TOKEN ويرسله كرأس HTTP يسمى X-XSRF-TOKEN عند التحول الطلبات.
- شرح:
- A غير صحيح لأن حماية CSRF القياسية تعتمد على ملفات تعريف الارتباط التي لا يمكن للمتصفح قراءتها عبر الأصول، وليس رموز التخزين المحلية.
- B صحيح لأن HttpClient الخاص بـ Angular يتضمن حماية XSRF مدمجة. إذا قام الخادم بتعيين ملف تعريف ارتباط باسم XSRF-TOKEN، فإن Angular يقرأه تلقائيًا ويرفقه كرأس X-XSRF-TOKEN لجميع طلبات التغيير مثل POST وPUT.
- C غير صحيح لأن إلحاق الرموز المميزة بعناوين URL غير آمن ويكشفها في سجل المتصفح.
- D غير صحيح لأن Angular تشارك بنشاط في استراتيجية الدفاع المتعمق عن طريق إرفاق الرأس تلقائيًا.
- E غير صحيح لأن حقول النموذج المخفية هي تقنية قديمة تستخدم في التطبيقات التقليدية التي يعرضها الخادم، وليست SPA الحديثة مثل Angular.
- F غير صحيح لأن Angular لا يقوم بتشفير الحمولات تلقائيًا؛ يتعامل HTTPS مع تشفير طبقة النقل.
- السؤال 3: أنت تقوم بإنشاء تطبيق Angular وتحتاج إلى تجاوز الأمان للوثوق بمقتطف HTML آمن معروف يتضمن أنماطًا مضمّنة. أي من الأساليب التالية يمثل أفضل ممارسة للتطوير الآمن لهذا السيناريو؟
- أ) ربط المقتطف مباشرة باستخدام InternalHTML دون أي تعديلات.
- ب) استخدام طريقة bypassSecurityTrustHtml من DomSanitizer، ولكن فقط بعد فحص مصدر HTML بعناية.
- ج) تعطيل التطهير المدمج في Angular عالميًا في AppModule.
- د) كتابة أنبوب مخصص يزيل جميع علامات البرنامج النصي باستخدام تعبير عادي بسيط.
- هـ) استخدام أسلوب bypassSecurityTrustResourceUrl لربط سلسلة HTML.
- F) تخزين مقتطف HTML في متغير قياسي وعرضه باستخدام استيفاء السلسلة.
- الإجابة الصحيحة: ب) استخدام أسلوب bypassSecurityTrustHtml من DomSanitizer، ولكن فقط بعد فحص مصدر الملف بعناية HTML.
- شرح:
- A غير صحيح لأن الربط المباشر بدون تحسين يترك التطبيق عرضة لـ XSS.
- B صحيح لأنه عندما يتعين عليك تقديم HTML موثوق به والذي قد يقوم Angular بإزالته، فإن bypassSecurityTrustHtml يطلب من Angular أن تثق في القيمة. ومع ذلك، فإن أفضل الممارسات تملي أن يتم ذلك فقط للمصادر الآمنة التي تم فحصها بدقة.
- C غير صحيح لأن تعطيل التطهير الشامل يزيل الحماية الأساسية عبر التطبيق بأكمله، وهو أمر خطير للغاية.
- D غير صحيح لأن تنقية regex المخصصة معيبة بشكل كبير ويمكن تجاوزها بسهولة بواسطة حمولات XSS المتطورة.
- E غير صحيح لأنه يتم استخدام bypassSecurityTrustResourceUrl للثقة الموارد القابلة للتنفيذ مثل مصادر iframe، وليس سلاسل HTML.
- F غير صحيح لأن استيفاء السلسلة سيعرض HTML كنص خام، وليس HTML محلل.
- مرحبًا بك في أكاديمية Mock Exam Practice Tests Academy لمساعدتك في الاستعداد لأفضل ممارسات الأمان Angular.
- يمكنك إعادة إجراء الاختبارات عدة مرات كما تفعل أريد.
- هذا بنك أسئلة أصلي ضخم.
- يمكنك الحصول على الدعم من المدربين إذا كانت لديك أسئلة.
- يحتوي كل سؤال على شرح مفصل.
- متوافق مع الهاتف المحمول مع تطبيق Udemy.
ما هي المتطلبات الأساسية لدخول الدورة والتسجيل فيها على موقعنا؟ رحلة التعلم:
(احصل على الدورة للدخول إلى الموقع والتسجيل)
يجب أن يكون لديك بريد إلكتروني (حساب بريد) تتذكره لنفسك وأيضًا يجب أن تتذكر كلمة مرور البريد الإلكتروني الذي ستسجل به ، وإذا لم يكن لديك حساب بريد إلكتروني ، فمن الأفضل إنشاء حساب (Gmail)
0 تعليقات
تسجيل دخول