منذ أسبوع
أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :
تغطية تفصيلية لنطاق الاختبار- مفاهيم الأمان الأساسية في NodeJs (20%)
- تتضمن الموضوعات التي يتم تناولها التحقق من صحة المدخلات وتطهيرها، والمصادقة والترخيص، وتخزين البيانات الآمنة،
- الثغرات الشائعة والوقاية منها (40%)
- تتضمن الموضوعات التي يتم تناولها حقن SQL ومنعها، والبرمجة النصية عبر المواقع (XSS) والوقاية، و تزوير الطلبات عبر المواقع (CSRF) ومنعها،
- ممارسات الترميز الآمن وأفضل الممارسات (40%)
- تتضمن الموضوعات التي يتم تناولها إرشادات الترميز الآمن ومعالجة الأخطاء والتسجيل والنشر والتكوين الآمنين،
- السؤال 1: أي من الطرق التالية هي الطريقة الأكثر فعالية لمنع حقن SQL في تطبيق NodeJs باستخدام قاعدة بيانات PostgreSQL؟
- الخيار أ: استخدام التعبيرات العادية لإزالة كلمات SQL الأساسية من إدخال المستخدم
- الخيار ب: استخدام الاستعلامات ذات المعلمات أو البيانات المعدة
- الخيار ج: تخطي جميع علامات الاقتباس المفردة في إدخال المستخدم يدويًا
- الخيار د: تشفير إدخال المستخدم باستخدام Base64 قبل الاستعلام
- الخيار E: التحقق من أن الإدخال يحتوي على أحرف أبجدية رقمية فقط
- الخيار F: تجزئة بيانات الإدخال باستخدام SHA-256 قبل إدراجها في قاعدة البيانات
- الإجابة الصحيحة: الخيار B
- شرح:
- الخيار A غير صحيح لأن التعبيرات العادية يمكن أن تكون بسهولة تم تجاوزه ولا يغطي جميع حالات الحافة المعقدة،
- الخيار B صحيح لأن الاستعلامات ذات المعلمات تضمن أن قاعدة البيانات تتعامل بشكل صارم مع إدخال المستخدم كبيانات بدلاً من تعليمات برمجية قابلة للتنفيذ، مما يؤدي إلى تحييد هجمات حقن SQL تمامًا،
- الخيار C غير صحيح لأن الهروب اليدوي معرض بشدة للخطأ البشري وقد يفتقد الفروق الدقيقة في لهجات قاعدة البيانات المحددة،
- الخيار D غير صحيح لأن Base64 يقوم فقط بالتشفير، وليس الهروب، وستقوم قاعدة البيانات بتقييم البرامج الضارة التي تم فك تشفيرها إذا لم يتم التعامل مع الحمولة بشكل صحيح،
- الخيار E غير صحيح لأن التقييد بالأحرف الأبجدية الرقمية يكسر حالات الاستخدام المشروعة مثل عناوين البريد الإلكتروني أو الأسماء التي تحتوي على واصلات،
- الخيار F غير صحيح لأن التجزئة مخصصة لكلمات المرور، وليس لتخزين البيانات العامة أو الاستعلام عن حقول النص القياسية،
- السؤال 2: عند تنفيذ منع تزوير طلب المواقع المشتركة (CSRF) في تطبيق Express، أي مجموعة من التقنيات توفر أقوى دفاع؟
- الخيار أ: تخزين الرموز المميزة للجلسة في LocalStorage والتحقق من رأس المُحيل
- الخيار ب: استخدام طلبات GET لجميع عمليات تغيير الحالة
- الخيار ج: تنفيذ الرموز المميزة لمكافحة CSRF جنبًا إلى جنب مع سمات ملفات تعريف الارتباط SameSite
- الخيار د: تعطيل CORS (مشاركة الموارد عبر الأصل) بالكامل
- الخيار E: الاعتماد فقط عند التحقق من صحة رأس الأصل لجميع الطلبات الواردة
- الخيار F: تشفير حمولة JWT وتخزينها في ملف تعريف ارتباط قياسي بدون علامة
- الإجابة الصحيحة: الخيار C
- الشرح:
- الخيار A غير صحيح لأن LocalStorage معرض بشدة لهجمات XSS، ويمكن انتحال الرؤوس المرجعية بسهولة أو تجريدها بواسطة المتصفحات،
- الخيار B غير صحيح لأن طلبات GET لا ينبغي أبدًا استخدامه لعمليات تغيير الحالة، والقيام بذلك يجعل استغلال CSRF أمرًا تافهًا،
- الخيار C صحيح لأن الجمع بين رمز مميز فريد لمكافحة CSRF تم التحقق من صحته على الخادم مع سمة SameSite في ملفات تعريف الارتباط يضمن عدم إمكانية تزوير الطلبات من أصول خارجية غير مصرح بها،
- الخيار D غير صحيح لأن تعطيل CORS لا يمنع CSRF، نظرًا لأن عمليات إرسال نماذج HTML التقليدية تتجاوز عمليات فحص CORS للاختبار المبدئي بالكامل،
- الخيار E غير صحيح لأنه لا يتم دائمًا إرسال رؤوس الأصل بشكل موثوق بواسطة المتصفحات بسبب وكلاء معينين أو إعدادات خصوصية صارمة،
- الخيار F غير صحيح لأن ملفات تعريف الارتباط القياسية التي لم يتم وضع علامة عليها يتم إرسالها تلقائيًا مع طلبات ذات أصل مشترك، مما يجعل التطبيق عرضة تمامًا لـ CSRF،
- السؤال 3: ما هي أفضل الممارسات الآمنة للتعامل مع الأخطاء وتسجيل الدخول إلى بيئة NodeJs للإنتاج؟
- الخيار أ: التقاط جميع الاستثناءات وإرجاعها تتبع المكدس الكامل للعميل لتصحيح الأخطاء
- الخيار ب: استخدام تسجيل وحدة التحكم القياسي لجميع عمليات تصحيح الأخطاء وكتابة المخرجات إلى ملف عام
- الخيار ج: تسجيل تفاصيل الخطأ الوصفية داخليًا أثناء إرجاع رسائل الخطأ العامة إلى العميل
- الخيار د: تجاهل الأخطاء غير الفادحة بصمت للحفاظ على تشغيل التطبيق دون انقطاع
- الخيار هـ: تخزين جميع سلاسل اتصال قاعدة البيانات في سجلات الأخطاء للوصول السريع أثناء الأعطال
- الخيار F: تعطيل تسجيل الدخول بالكامل لزيادة أداء التطبيق وتوفير مساحة القرص
- الإجابة الصحيحة: الخيار C
- الشرح:
- الخيار A غير صحيح لأن كشف تتبعات المكدس للعميل يكشف عن بنية التطبيق الداخلية ويسلط الضوء على نقاط الضعف المحتملة للمهاجمين،
- الخيار B غير صحيح لأن تسجيل وحدة التحكم القياسية يمكن أن يكون متزامنًا والكتابة إلى ملف عام يعرض البيانات التشغيلية الحساسة إلى أشخاص غير مصرح بهم. المستخدمين،
- الخيار C صحيح لأن تسجيل الأخطاء الوصفية داخليًا يسمح للمطورين بتصحيح المشكلات بشكل صحيح، بينما يؤدي إرسال رسائل عامة إلى العميل إلى منع تسرب المعلومات بنجاح،
- الخيار D غير صحيح لأن تجاهل الأخطاء بصمت يؤدي إلى حالات تطبيق غير متوقعة ويجعل تصحيح الأخطاء مستحيلًا عمليًا،
- الخيار E غير صحيح لأن السجلات يجب ألا تحتوي أبدًا على بيانات اعتماد حساسة مثل سلاسل اتصال قاعدة البيانات أو مفاتيح API تحت أي ظرف من الظروف،
- الخيار F غير صحيح لأنه يؤدي تعطيل السجلات تمامًا إلى منع المراقبة والتدقيق واستكشاف الأخطاء وإصلاحها عند حدوث حوادث أمنية خطيرة أو تعطل التطبيق،
- مرحبًا بك في أكاديمية Mock Exam Practice Tests Academy لمساعدتك في الاستعداد للتعليمات البرمجية الآمنة الخاصة بك في NodeJs JavaScript،
- يمكنك إعادة إجراء الاختبارات عدة مرات كما تريد،
- هذا سؤال أصلي ضخم البنك،
- تحصل على الدعم من المدربين إذا كانت لديك أسئلة،
- يحتوي كل سؤال على شرح مفصل،
- متوافق مع الهاتف المحمول مع تطبيق Udemy،
ما هي المتطلبات الأساسية لدخول الدورة والتسجيل فيها على موقعنا؟ رحلة التعلم:
(احصل على الدورة للدخول إلى الموقع والتسجيل)
يجب أن يكون لديك بريد إلكتروني (حساب بريد) تتذكره لنفسك وأيضًا يجب أن تتذكر كلمة مرور البريد الإلكتروني الذي ستسجل به ، وإذا لم يكن لديك حساب بريد إلكتروني ، فمن الأفضل إنشاء حساب (Gmail)
0 تعليقات
تسجيل دخول