6.7. Examen de module 6 du programme DevNet Associate 1.0 réponses Français (French)
1. Faites correspondre le modèle du cloud à sa description.
Explication: Placez les options dans l’ordre suivant:
hybride |
Ces clouds sont composés de deux nuages ou plus. Cependant, chaque partie reste un objet distinctif et distinct. Ces deux éléments sont reliés par une architecture unique. |
bord |
Il s’agit de clouds destinés à une organisation ou une entité spécifique, comme le gouvernement. Ils peuvent être configurés à l’aide du réseau privé d’une organisation. |
privé |
Ce sont des clouds qui localisent l’informatique aussi près que possible de l’utilisateur. |
2. Quelle est la philosophie du déploiement logiciel utilisée dans le domaine des DevOps ?
Explication: CI/CD (intégration continue/livraison continue) est une philosophie de déploiement de logiciels qui occupe une place prépondérante dans le domaine des DevOps.
3. Quelle est une caractéristique d’une ordinateur virtuel fonctionnant sur un PC?
- Un ordinateur virtuel a besoin d’une carte réseau physique pour se connecter à Internet.
- Le nombre d’ordinateurs virtuels qu’il est possible de créer dépend des ressources logicielles de l’ordinateur hôte.
- Un ordinateur virtuel n’est pas exposé aux menaces, ni aux attaques malveillantes.
- Un ordinateur virtuel exécute son propre système d’exploitation.
Explication: Chaque ordinateur virtuel exécute son propre système d’exploitation. Le nombre d’ordinateurs virtuels qu’il est possible de créer dépend des ressources matérielles de l’ordinateur hôte. À l’instar des ordinateurs physiques, les ordinateurs virtuels sont exposés aux menaces et aux attaques malveillantes. Pour se connecter à Internet, un ordinateur virtuel utilise une carte réseau virtuelle, qui se comporte comme la carte physique d’un ordinateur classique. La connexion est alors établie via la carte physique de l’hôte.
4. Quelle attaque implique l’insertion de code malveillant dans les instructions SQL ?
- inclusion de fichier local
- injection SQL
- force brute
- scripting intersites
Explication: L’injection SQL (SQLi) est une technique d’attaque d’application Web de base où l’attaquant place du code SQL malveillant dans un champ d’une page Web et le code côté serveur le soumet à la base de données sans le désinfecter au préalable. Une attaque SQLi, si elle réussit, peut supprimer ou modifier des données sensibles ou les révéler à l’attaquant.
5. Quels caractères sont utilisés pour séparer les instructions SQL groupées ?
- deux points :
- point-virgule (;)
- symbole livre #
- parenthèses ( )
Explication: Un lot d’instructions SQL est un groupe de deux ou plusieurs instructions SQL séparées par des points-virgules.
6. Quelle technique est utilisée pour atténuer les attaques par injection SQL ?
- en utilisant le même compte propriétaire ou administrateur dans les applications Web pour se connecter à la base de données
- attribution des droits d’accès DBA ou administrateur au compte d’application
- limitation de l’accès en lecture à des champs spécifiques d’une table ou à des jointures de tables
- utilisation de procédures stockées avec le rôle par défaut « db_owner »
Explication: Les pratiques recommandées pour se défendre contre l’injection SQL sont les suivantes :
- Ne pas attribuer des droits d’accès DBA ou de type administrateur aux comptes d’application
- Évitez d’utiliser le même compte propriétaire/administrateur dans les applications Web pour se connecter à la base de données
- Limitation de l’accès en lecture à des champs spécifiques d’une table ou à des jointures de tables
- Ne pas attribuer des droits db_owner aux procédures stockées
7. Quelle méthode d’atténuation est efficace contre les scripts intersites ?
- nécessitant une authentification multifactorielle
- désinfection du contenu non approuvé
- en utilisant uniquement les fonctionnalités nécessaires et les paquets sécurisés téléchargés à partir de sources officielles et vérifiés avec une signature
- durcissement constant des systèmes et des applications
Explication: Un script intersite se produit lorsqu’un attaquant utilise les fonctions dynamiques d’un site pour injecter du contenu malveillant dans une page. Pour atténuer les attaques, il faut examiner attentivement l’endroit où le contenu non approuvé est inclus sur une page, ainsi que la désinfection de tout contenu non approuvé.
8. Quelle déclaration est une caractéristique de la menace de contrôle d’accès rompu pour les applications Web ?
- Il permet à un attaquant d’utiliser les fonctions dynamiques d’un site pour injecter du contenu malveillant dans la page.
- Il permet aux attaquants d’accéder aux versions sérialisées des données et des objets, et éventuellement de les modifier.
- Il permet aux attaquants de voler des informations sensibles telles que des mots de passe ou des informations personnelles.
- Il permet aux utilisateurs de contourner les exigences d’authentification existantes.
Explication: Un contrôle d’accès interrompu peut se produire si un développeur crée une application qui permet aux utilisateurs de contourner les exigences d’authentification existantes. Les développeurs doivent s’assurer de protéger toutes les ressources et fonctions qui doivent être protégées côté serveur, en veillant à ce que tous les accès soient autorisés.
9. Faites correspondre les environnements de la structure d’environnement de développement à quatre niveaux à la description.
Explication: Placez les options dans l’ordre suivant:
production |
contient du code qui a été testé plusieurs fois et qui est sans erreur |
tester |
inclut des outils automatisés tels que Jenkins, Circleci ou Travis CI, et est souvent intégré à un système de contrôle de version |
développement |
où le codage a lieu |
planification |
structurellement aussi proche de l’environnement de production réel |
10. Faites correspondre la ressource OWASP avec une description.
Explication: Placez les options dans l’ordre suivant:
Série de fiches d’escroquerie |
explique comment atténuer les problèmes de sécurité des commandes dans les applications Web |
Vérification de dépendance |
recherche les vulnérabilités connues dans le code |
DefectDojo |
rationalise le processus de test de code |
Jeu de règles de base ModSecurity< |
règles génériques de détection d’attaques utilisées avec les pare-feu d’application Web |
11. Quelle technologie est utilisée pour conteneuriser des applications et leur permettre de fonctionner dans une variété d’environnements ?
- Docker
- VirtualBox
- Cisco DNA
- GitHub
Explication: Docker est une technologie conçue pour faciliter la création, le déploiement et l’exécution d’applications à l’aide de conteneurs. Les conteneurs permettent à un développeur d’empaqueter une application avec toutes les pièces dont l’application a besoin pour s’exécuter dans la plupart des environnements.
12. Qu’est-ce qui est utilisé pour isoler les différentes parties d’un conteneur en cours d’exécution ?
- control groups
- wrappers
- union file systems
- namespaces
Explication: Les conteneurs utilisent des espaces de noms pour définir et isoler chaque partie d’une application dans un conteneur.
13. Quelle est la caractéristique de la stratégie de déploiement de mise à niveau bleu-vert ?
- Un nouvel environnement est créé avec le nouveau code, tandis que l’ancien environnement est conservé en réserve au cas où les utilisateurs rencontrent des problèmes.
- Les modifications de code sont périodiquement déployées de telle sorte qu’elles n’affectent pas les utilisateurs actuels.
- Le nouveau code est déployé à la fois dans l’ancien environnement. Si les utilisateurs ne rencontrez aucun problème, il est ensuite déplacé vers le nouvel environnement.
- La nouvelle version de code est d’abord déployée sur un sous-ensemble d’utilisateurs. Les modifications peuvent ensuite être annulées si les utilisateurs rencontrent des problèmes.
Explication: Avec un déploiement bleu-vert, un environnement entièrement nouveau (bleu) est créé avec le nouveau code. L’ancien environnement (vert) est conservé en réserve, donc si les utilisateurs du nouvel environnement rencontrent des problèmes, le trafic peut être détourné vers l’environnement d’origine. S’il n’y a pas de problème, le nouvel environnement devient l’environnement de production.
14. Dans le développement de logiciels, quel est le but d’une boîte de saut ?
- pour filtrer les paquets en fonction de l’adressage des couches 3 et 4
- pour faire en sorte que toutes les demandes provenant d’un réseau ressemblent à celles provenant de la même adresse IP source
- pour agir comme une seule machine de confiance utilisée pour lancer des connexions à des systèmes sensibles
- pour recevoir les demandes entrantes et les transférer vers plusieurs serveurs
Explication: Une boîte de raccourcis est un serveur auquel les utilisateurs doivent d’abord accéder pour lancer une connexion à un système cible. Étant donné que la boîte de saut est la machine de confiance pour accéder aux systèmes sensibles, elle fournit une couche de sécurité supplémentaire.
15. Quel périphérique de sécurité est utilisé pour faire en sorte que les réponses aux demandes des clients semblent toutes provenir du même serveur ?
- Proxy direct (forward proxy)
- boîte de saut (jump box)
- Proxy inverse (reverse proxy)
- Pare-feu dynamique (stateful firewall)
Explication: Le travail d’un proxy inverse est de s’assurer que les réponses semblent toutes provenir du même serveur. C’est le contraire d’un proxy direct, qui fait que les demandes provenant de plusieurs ordinateurs semblent toutes provenir du même client.