SQL Injection in Entity Framework

Questions and Answers

Wat is een methode in het Entity Framework waarmee je raw query's kunt uitvoeren?

• WithSql
• FromSql (correct)
• ToSql
• InSql

Waarom is direct de database aanvallen in een webapplicatie normaal gesproken niet mogelijk?

• De databases zijn volledig beveiligd tegen elke vorm van aanval
• Webapplicaties hebben geen databases
• De database is normaal niet rechtstreeks benaderbaar (correct)
• Webapplicaties hebben geen kwetsbaarheden voor aanvallen

Waarom wordt source code analyse vaak gebruikt in software security lessen?

• Om te bepalen waar user input vandaan komt en of er validatie op wordt toegepast (correct)
• Om de layout van de website te beoordelen
• Om de snelheid van de applicatie te meten
• Om te kijken hoe mooi de code geschreven is

Waarom zijn andere soorten applicaties met een relationele database ook kwetsbaar voor SQL injection?

Als de user input onvoldoende wordt gecontroleerd (D)

Wat is een belangrijk aspect dat je kunt ontdekken door zoeken in de source code van een applicatie?

Waar een query richting de database wordt gedaan (A)

Wat doen pentest tools die als 'black box' werken juist niet?

Kijken naar de source code (B)

Wat is volgens de tekst een noodzakelijke kennis voor softwarebeveiliging?

Kennis van databases en SQL (C)

Waarom is het belangrijk om de vertaling naar taal/framework onafhankelijkheid te begrijpen?

Om kwetsbaarheden in een programmeertaal te kunnen identificeren (B)

Wat is de focus van vandaag volgens de tekst met betrekking tot webapplicaties?

Server-side webapplicaties met SQL-injectie (C)

Waarom is basiskennis van HTML en CSS belangrijk voor het begrijpen van source code?

Om de broncode van webapplicaties te begrijpen (B)

Welk framework wordt specifiek gebruikt voor de webapplicatie in dit blok?

ASP.NET MVC Core (C#) (D)

Waarom is kennis van databases en SQL nodig voor source code analyse volgens de tekst?

Zonder deze kennis begrijp je de broncode niet (B)

Wat is het belangrijkste verschil tussen code-analyse en penetratietesten?

Penetratietesten zijn gericht op het afvuren van commando's op software, terwijl code-analyse gericht is op het begrijpen van de code zelf. (B)

Waarom adviseert de OWASP testing guide om altijd de source code te gebruiken in een security review?

Om alle kwetsbaarheden te vinden die niet met penetratietesten gedetecteerd kunnen worden (B)

Welke studenten hebben kennis van Objecten, UML en kunnen goed programmeren in Java en C#?

SE studenten (A)

Wat wordt aangeraden voor een security review volgens de OWASP testing guide?

Altijd source code gebruiken als deze beschikbaar is (D)

Wat is een van de belangrijkste verschillen tussen NSE studenten en ISM studenten op het gebied van voorkennis?

NSE studenten hebben kennis van databases uit het 1e half jaar, terwijl ISM studenten alleen technische kennis hebben uit het 1e half jaar. (B)

Welke studenten hebben alleen technische kennis uit het 1e half jaar zonder objectgeoriënteerd programmeren en databases?

ISM studenten (B)