2. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA STAJ OKULU 2018 SINAV SORULARI
Soru 1: Bir Linux web sunucusunda aşağıdaki komut ile ne yapılmak, nereye varılmak
istenmektedir?
cat access.log | grep -E “%27|--|union|select|from|or|@|version|char|varchar|exec
a) Veritabanı sorguları tek tek çalıştırılmaktadır.
b) Bir database(veritabanı) içerisinde arama işlemi yapılmak istenmektedir.
c) SQL Injection saldırıları tespit edilmek istenmektedir.
d) Cross-site scripting saldırıları tespit edilmek istenmektedir.
Soru 2: Linux sisteme bir saldırganın sızdıktan sonra; yaptığınız incelemede,
“.bash_history” dosyası içeriğinde aşağıdaki komutun çalıştırıldığı görülmektedir.
$ find / -user root -perm -4000 -exec ls -ldb {} ; >/tmp/files
Saldırganın bu komutu kullanmaki amacı nedir?
a) Root haklarıyla dosya çalıştırmak
b) Root’a ait dosyaları bulmak.
c) Setuid izinlerine sahip dosyaları bulmak.
d) /tmp altındaki dosya izinlerini değiştirmek
Soru 3: Aşağıdakilerden hangisi çerezlerde saklanmalıdır?
a) Oturum kimliği (Session ID)
b) Hesap Ayrıcalıkları (Account Privileges)
c) Kullanıcı adı
d) Parola
Soru 4: NSA, neden Edward Snowden'ın tüm belgeleri çalmadan ve sızdırmadan önce bir
güvenlik riski olduğunu anlayamamıştır?
....................................................................................................................................................
3. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 5: Aşağıdakilerden hangisi ikinci nesil programlama dilleri olarak kabul edilir?
a) Assembly
b) Machine
c) Very high-level
d) High-level
Soru 6: “Whitelist” veri doğrulama ne demektir?
a) Veri geçerli olduğu bilinen bir değerler listesine göre doğrulanır.
b) Veriler geçersiz olduğu bilinen bir değerler listesine göre doğrulanır.
c) Yukarıdakilerin ikisi de
d) Yukarıdakilerin hiçbiri
Soru 7: Buffer Overflow, Cross Site Scripting (XSS), SQL Injection gibi saldırılarının ortak
noktası nedir?
a) Kimlik doğrulama eksikliği
b) Beklenmeyen hata mesajı oluşması
c) Onaylanmamış girdi
d) Hatalı konfigürasyon yönetimi
Soru 8: Parola hashlerini kırmaya yönelik sözlük saldırılarına (dictionary attack) karşı nasıl
bir önlem alınır?
a) Parolayı iki kez hash algoritmasından geçirerek
b) Parolanın encrypt edilmesiyle
c) Kimsenin bilmediği kişisel bir şifreleme algoritması kullanarak
d) Hash Salting (Hash Tuzlama) yöntemi kullanarak
Soru 9: Web sunucusu bir GET isteğinin hangi bölümünü kaydeder?
a) Hidden tags
b) Query Strings
c) Header
d) Cookies
4. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 10: Samet, kullanıcı tarafındaki (client-side) orijinal Javascript kodu değiştirerek,
kullanıcı bilgilerini çalmak için zararlı bir kod oluşturmuştur. Samet bu işlem için ne tür bir
XSS güvenlik açığı kullanmaktadır.
a) DOM-based
b) Second order
c) Persisten
d) Nonpersistent
Soru 11: Aşağıdaki antivirüs algılama yöntemlerinden hangisi uygulama işletim sistemi
üzerinde çalışırken zararlı kodları izler ve en yeni teknolojileri kullanır?
a) Davranış engelleme (Behavior)
b) Parmak izi algılama (Fingerprint)
c) İmza tabanlı tespit (Signature-based)
d) Sezgisel algılama (Heuristic)
Soru 12: SOAP (Simple Object Access Protocol) ve RPC (Remote Call Procedure) hakkında
aşağıda verilen tanımlamalardan hangisi veya hangileri yanlıştır?
a) SOAP, RPC ile ilgili uyumluluk ve güvenlik sorunlarının üstesinden gelmek için
tasarlanmıştır.
b) Uygulama katmanı iletişimini sağlamak için SOAP ve RPC oluşturuldu.
c) SOAP, İnternet üzerinden uygulamalar arasında bilgi alışverişi için RPC'nin
kullanılmasını sağlar.
d) HTTP, RPC ile çalışmak üzere tasarlanmamıştır, ancak SOAP, HTTP ile çalışmak üzere
tasarlanmıştır.
Soru 13: Uygar, ağ trafiğini dinliyor ve kimlik doğrulama sunucusuna gönderilen parolaları
yakalıyor. Uygar buradan elde ettiği parolaları gelecekteki bir saldırının parçası olarak
kullanmayı planlıyor ise bu ne tür bir saldırıdır?
a) Brute-force
b) Dictionary attack
c) Social engineering
d) Replay attack
5. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 14: Tüm uygulamaların aynı güvenlik kurallarını izlediğinden emin olmak için
uygulama güvenliği politikalarının paylaşılmasına hangi etiketleme dili (markup language)
izin verir?
a) XML
b) GML
c) XACML
d) SPML
Soru 15: Birkaç çeşit IDS (Intrusion Detection System) vardır. Hangi tip IDS bir ortamın
normal aktivitelerinin profilini oluşturur ve profile göre paketlere bir anormal skor atar?
a) Protokol imza tabanlı
b) İstatistiksel anomali tabanlı
c) Durum tabanlı
d) Yanlış algılama sistemi
Soru 16: Aşağıdakilerden hangisi kural tabanlı bir IDS'in (Intrusion Detection System)
özelliğidir?
a) Gelişmiş sistemler ile IF / THEN programlama kullanır.
b) Ortak sınırlarının dışında kullanılan protokolleri tanımlar.
c) Paternleri çeşitli aktivitelerle karşılaştırır.
d) Yeni saldırıları tespit edebilir.
Soru 17: Web uygulamasında giriş doğrulamasında ……..….................... baz alınmalıdır.
Boşluğa gelecek uygun kelime hangisidir?
a) Whitelist
b) Blacklist
c) Whitebox
d) Blackbox
6. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 18: Web uygulamasında Cookie’nin Secure özelliği tanımlanmış ise aşağıdakilerden
hangisi veya hangileri doğrudur?
a) Cookie, Javascript tarafından erişilemez.
b) Cookie, domainler arasında gönderilmeyecek.
c) Kullanıcı (client), Cookie değerini yalnızca HTTPS bağlantı üzerinden gönderebilir.
d) Cookie, subdomainler üzerinde de kullanılabilir.
Soru 19: Clickjacking'i önlemek için aşağıdakilerden hangisi veya hangileri kullanılır?
a) HTTP Bağlantısı
b) HTTPS Bağlantısı
c) X-Frame-Options HTTP Başlığı
d) Content-Security-Policy HTTP Başlığı
Soru 20: Web sunucunuz güvenli (HTTPS) bağlantıları desteklemektedir. Tasarım gereği, bir
istemcinin yanlışlıkla güvenli olmayan HTTP bağlantısı üzerinden bir sayfa istemediğinden
emin olmanın en iyi yolu aşağıdakilerden hangisi veya hangileri olabilir?
a) Bağlantı noktası 443 için tüm istekleri 80 numaralı bağlantı noktasına yönlendirmek
b) Bağlantı noktası 80 için tüm istekleri 443 numaralı bağlantı noktasına yönlendirmek
c) Tamamen 80 numaralı bağlantı noktasını kapatmak
d) HTTP Strict-Transport-Security kullanmak
Soru 21: Bir web sunucusunda index.html, index.php, index.xml, index.pl dosyaları aynı
dizinde bulunmaktadır. Gönderilen url değiştirilmeden index.pl dosyasını nasıl
görebilirsiniz?
CEVAP: .........................................................................................................................
Soru 22: SQL injection saldırılarına karşı korumanın en etkili yolu ………………………….dır.
Boşluğa gelecek uygun cevap hangisidir?
a) Input değerlerinde "1 OR 1 = 1" ve "UNION" gibi ifadeleri kara listeye almak.
b) Saldırıları tespit etmek için bir saldırı tespit sistemi kullanmak.
c) Beyaz liste girişi (ör. Yalnızca alfasayısal karakterlere ve boşluklara izin verme).
d) Prepared statements veya parametreli sorguların kullanılması.
7. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 23: Cross Site Scriptting (XSS) güvenlik açıkları için aşağıdakilerden hangisi doğru
değildir?
a) Saldırgan, kullanıcının makinesinde rastgele kod çalıştırabilir.
b) Saldırgan, bir kullanıcının kimliğine bürünmek için bir XSS güvenlik açığından
yararlanabilir.
c) Reflected XSS zafiyeti, yalnızca kullanıcı belirli bir eylem gerçekleştirdiğinde
tetiklenebilir.
d) Kullanıcı, normalde güvendiği bir sayfada kendisini Reflected XSS'e karşı korumak için
hiçbir şey yapamaz.
Soru 24: HTML5 güvenliği hakkında aşağıdaki ifadelerden hangisi doğrudur?
a) HTML5'te, AJAX istekleri ile kısıtlama olmaksızın diğer domainlerden okuma işlemi
yapılabilir.
b) HTML5 özellikleri sayesinde, bir saldırgan ClickJacking aracılığıyla bir iframe'den veri
çalabilir.
c) Bir sayfada HTML5 tarafından sunulan yeni özellikleri kullanmamak, bu özelliklerin
getirdiği yeni güvenlik risklerine karşı korunmak için iyi bir yoldur.
d) HTML5, XSS'e karşı daha kolay koruma sağlar.
Soru 25: AJAX isteklerinde CSRF (Cross Site Request Forgery) saldırılarını önlemek için
aşağıdakilerden hangileri yapılabilir?
a) Yalnızca AJAX isteklerini gerçekleştirmesi beklenen siteden cross-origin isteklere izin
vermek için Access-Control-Allow-Origin başlığını eklemek.
b) GET yerine POST XmlHttpRequests kullanmak
c) AJAX isteklerini gerçekleştirmesi gereken siteye yalnızca XmlHttpRequests'e yanıt
dönmesi için yönlendirme denetimi kullanmak.
d) XmlHttpRequest verilerini XML yerine JSON biçiminde göndermek.
8. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 26: Aşağıdaki kod bloğu bir web projesinde kullanılmaktadır. Bu kod bloğunun
barındırdığı zafiyet, yapılan hata nedir ve bu tür bir hatayı önlemek için neler yapılmalıdır?
CEVAP: …………………………………………………………………………………………………………………….
Soru 27: Bir linux sistemde aşağıdaki komut çalıştırılmıştır. Bu komut ile ne amaçlanmak
istenmektedir?
$ journalctl -u 'systemd-logind' --since "today" --until "tomorrow"
a) Sunucunun kim tarafından kapatıldığı öğrenilmek istenmektedir.
b) Journalctl loglarını listelemektedir.
c) Son bir gün içerisinde sisteme yapılan girişleri listelemek istemektedir.
d) Son bir gün içerisindeki sistem loglarını silmek istemektedir.
9. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Soru 28: Sistem yöneticisi sorumlu olduğu linux ağ geçidi üzerinde aşağıda belirtilen komut
ile aşağıdakilerden hangisi veya hangilerini gerçekleştirmeyi amaçlamaktadır?
ngrep –q –W byline -v ‘^GET|PUT|POST|HTTP/1.[01]‘ tcp port 80
a) Dnssec kullanımını aktif hale getirmek.
b) IP Spoofing işlemini tespit etmeye çalışmak.
c) 80/tcp portu icin HTTP protokol anormalliğini tespit etmeye çalışmak.
d) 443/tcp portundan SSH kullanımı yasaklamak.
e) 80/tcp portuna gerçekleştirilecek olan port taramalarını tespit etmek.
Soru 29: Linux tabanlı bir sistem üzerinde aşağıdaki gibi bir durum mevcuttur.
-r-------- 1 root root 56112 May 12 2017 /bin/chmod
---------- 1 user user 92189 Jan 17 2017 /home/user/questions.txt
Yukarıdaki duruma göre questions.txt dosyasının içini okumak isteyen root kullanıcısı ne
yapabilir?
CEVAP: .....................................................................................................................................
Soru 30: Ağı dinleyen sistem yöneticisi aşağıda görülen mesajı yakalamıştır. İletilmek
istenen mesaj nedir?
01100001010101110011010101101111010010010100100001110000011010000110000101
00100001000101011001110110010000110011011011000011001001100010011011100110
11000110111101100100010010000100000100111101
CEVAP: ....................................................................................................................................
10. [BGA STAJ OKULU 2018 SINAV SORULARI]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.