25 nejčastějších otázek a odpovědí týkajících se etického hackingu (2025)

Od: Oliver Jones Oliver Jones
Hours aktualizováno

Zde jsou otázky a odpovědi na pohovor o etickém hackingu pro čerstvější i zkušené kandidáty, aby získali svou vysněnou práci.

Otázky a odpovědi na pohovor o etickém hackingu pro začátečníky

1) Vysvětlete, co je etické hackování?

Etické hackování je, když je osobě dovoleno hackovat systém se svolením vlastníka produktu, aby našel slabiny systému a později je napravil.

👉 Zdarma ke stažení PDF: Otázky a odpovědi na rozhovor o etickém hackingu

2) Jaký je rozdíl mezi IP adresou a Mac adresou?

IP adresa: Každému zařízení je přiřazena IP adresa, takže zařízení může být umístěno v síti. Jinými slovy, IP adresa je jako vaše poštovní adresa, kam vám může poslat dopis kdokoli, kdo zná vaši poštovní adresu.

MAC (Machine Access Control) adresa: A MAC adresa je jedinečné sériové číslo přiřazené každému síťovému rozhraní na každém zařízení. Mac adresa je jako vaše fyzická poštovní schránka, může ji identifikovat pouze váš poštovní dopravce (síťový směrovač) a můžete ji kdykoli změnit tak, že si pořídíte novou poštovní schránku (síťovou kartu) a připíšete na ni své jméno (IP adresu).

3) Vyjmenujte některé běžné nástroje používané etickými hackery?

Následuje seznam Nejlepší etické hackerské nástroje:

  • Meta Sploit
  • Wireshark
  • nmap
  • John The Ripper
  • Maltego

4) Jaké jsou typy etických hackerů?

Typy etických hackerů jsou

  • Šedá Box hackeři nebo Cyberwarrior
  • Černá Box penetrační testery
  • Bílý Box penetrační testery
  • Certifikovaný etický hacker

5) Co je to footprinting v etickém hackování? Jaké jsou techniky používané pro footprinting?

Footprinting označuje shromažďování a odkrývání co nejvíce informací o cílové síti před získáním přístupu do jakékoli sítě. Přístup, který hackeři používali dříve suchý

  • Open Source Footprinting: Vyhledá kontaktní informace administrátorů, které budou použity při hádání hesla v sociálním inženýrství
  • Výčet sítě: Hacker se snaží identifikovat názvy domén a síťové bloky cílové sítě
  • Snímání: Jakmile je síť známa, druhým krokem je špehování aktivních IP adres v síti. Pro identifikaci aktivních IP adres (ICMP) je aktivní IP adresa Internet Control Message Protocol
  • Zásobník otisků prstů: Jakmile jsou hostitelé a port zmapováni skenováním sítě, lze provést poslední krok footprintingu. Toto se nazývá Stack fingerprinting.
Otázky k pohovoru o etickém hackování
Otázky k pohovoru o etickém hackování

6) Vysvětlete, co je Brute Force Hack?

Brute force hack je technika pro hacknutí hesla a získání přístupu k systémovým a síťovým zdrojům, zabere to mnoho času, potřebuje hackera, aby se o tom dozvěděl JavaSkripty. Pro tento účel lze použít název nástroje „Hydra“.

SOUVISEJÍCÍ ČLÁNKY

7) Vysvětlete, co je útok DOS (Denial of service)? Jaké jsou běžné formy útoku DOS?

Denial of Service, je škodlivý útok na síť, který se provádí zahlcením sítě zbytečným provozem. Ačkoli, DOS nezpůsobuje žádnou krádež informací nebo narušení bezpečnosti, může to vlastníka webu stát spoustu peněz a času.

  • Buffer Přepadové útoky
  • SYN útok
  • Slzový útok
  • Šmoulí útok
  • Viry

8) Vysvětlete, co je SQL injection?

SQL je jednou z technik používaných ke krádeži dat z organizací, je to chyba vytvořená v kódu aplikace. SQL injection se stane, když vložíte obsah do řetězce dotazu SQL a obsah režimu výsledků do řetězce dotazu SQL a výsledek upraví syntaxi vašeho dotazu způsobem, který jste nezamýšleli.

SQL Injection
SQL Injection

9) Jaké jsou typy počítačových útoků sociálního inženýrství? Vysvětlete, co je to phishing?

Počítačové útoky sociálního inženýrství jsou

  • Phishing
  • Návnada
  • On-line podvody

Technika phishingu zahrnuje odesílání falešných e-mailů, chatů nebo webových stránek za účelem zosobnění skutečného systému s cílem ukrást informace z původní webové stránky.

10) Vysvětlete, co je Network Sniffing?

Síťový sniffer sleduje tok dat počítačová síť odkazy. Tím, že vám umožní zachytit a zobrazit data na úrovni paketů ve vaší síti, nástroj sniffer vám může pomoci najít problémy se sítí. Sniffery lze použít jak pro krádež informací ze sítě, tak pro legitimní správu sítě.

11) Vysvětlete, co je spoofing ARP nebo otrava ARP?

ARP (Address Resolution Protocol) je forma útoku, při kterém útočník změní MAC (Media Access Control) adresu a zaútočí na internetovou LAN tím, že změní mezipaměť ARP cílového počítače pomocí falešných paketů požadavku a odpovědi ARP.

12) Jak se můžete vyhnout otravě ARP nebo jí předejít?

Otravě ARP lze předejít následujícími metodami

  • Filtrování paketů: Filtry paketů jsou schopné filtrovat a blokovat pakety s konfliktními informacemi o zdrojové adrese
  • Vyhněte se vztahu důvěry: Organizace by měla vyvinout protokol, který se co nejméně spoléhá na vztah důvěry
  • Používejte software pro detekci falšování ARP : Existují programy, které kontrolují a certifikují data před jejich přenosem a blokují falešná data
  • Používejte šifrovací síťové protokoly: Použitím zabezpečených komunikačních protokolů jako TLS, SSH, HTTP secure zabraňuje ARP spoofing útoku šifrováním dat před přenosem a ověřováním dat, když jsou přijata.

13) Co je to Mac Flooding?

Mac Flooding je technika, při které je ohrožena bezpečnost daného síťového přepínače. Při zaplavení počítačů Mac hacker nebo útočník zaplaví přepínač velkým množstvím snímků, pak to, co přepínač zvládne. Díky tomu se přepínač chová jako rozbočovač a přenáší všechny pakety na všech portech. S využitím této výhody se útočník pokusí poslat svůj paket do sítě, aby ukradl citlivé informace.

14) Vysvětlete, co je DHCP Rogue Server?

Rogue DHCP server je DHCP server v síti, který není pod kontrolou pracovníků sítě. Rogue DHCP Server může být router nebo modem. Uživatelům nabídne IP adresy, výchozí bránu, WINS servery, jakmile se uživatel přihlásí. Rogue server může načuchat veškerý provoz odesílaný klientem do všech ostatních sítí.

15) Vysvětlete, co je to Cross-site scripting a jaké jsou typy Cross-site scripting?

Skriptování mezi stránkami se provádí pomocí známých zranitelností, jako jsou webové aplikace, jejich servery nebo plug-iny, na které uživatelé spoléhají. Zneužití jednoho z nich vložením škodlivého kódování do odkazu, který se jeví jako důvěryhodný zdroj. Když uživatelé kliknou na tento odkaz, škodlivý kód se spustí jako součást webového požadavku klienta a spustí se na počítači uživatele, což útočníkovi umožní ukrást informace.

Existují tři typy skriptování mezi weby

  • Neperzistentní
  • vytrvalý
  • Chyby zabezpečení na straně serveru versus DOM

Otázky a odpovědi na pohovor o etickém hackování na pokročilé úrovni

16) Vysvětlete, co je Burp Suite, z jakých nástrojů se skládá?

Burp suite je integrovaná platforma používaná pro útoky na webové aplikace. Skládá se ze všech nástrojů Burp potřebných k napadení aplikace. Burp Suite nástroj má stejný přístup k útokům na webové aplikace, jako je rámec pro zpracování požadavků HTTP, upstream proxy, upozornění, protokolování a tak dále.

Nástroje, které Burp Suite má

  • Zástupce
  • Pavouk
  • Skener
  • Intruder
  • Repeater
  • Decoder
  • Srovnávat
  • Sekvencer

17) Vysvětlete, co je Pharming a Defacement?

  • Léčiva: V této technice útočník ohrozí servery DNS (Domain Name System) nebo počítač uživatele, takže provoz je směrován na škodlivý web.
  • znehodnocení: V této technice útočník nahradí web organizace jinou stránkou. Obsahuje jména hackerů, obrázky a může dokonce obsahovat zprávy a hudbu na pozadí

18) Vysvětlete, jak můžete zabránit napadení vašeho webu?

Přizpůsobením následující metody můžete zabránit napadení vašeho webu

  • Dezinfekce a ověření uživatelských parametrů: Dezinfekcí a ověřením uživatelských parametrů před jejich odesláním do databáze může snížit šance na napadení SQL injection
  • Použití brány firewall: Firewall lze použít k poklesu provozu z podezřelé IP adresy, pokud je útok jednoduchý DOS
  • Šifrování souborů cookie: Otrávení souborů cookie nebo relací lze zabránit zašifrováním obsahu souborů cookie, přiřazením souborů cookie k IP adrese klienta a časovým omezením souborů cookie po určité době.
  • Ověření a ověření uživatelského vstupu: Tento přístup je připraven zabránit temperování formuláře ověřením a ověřením uživatelského vstupu před jeho zpracováním
  • Ověřování a dezinfekce hlaviček: Tato technika je užitečná proti cross site scriptingu nebo XSS, tato technika zahrnuje ověřování a dezinfekci záhlaví, parametrů předávaných přes URL, parametrů formuláře a skrytých hodnot ke snížení útoků XSS.

19) Vysvětlete, co je Keylogger Trojan?

Keylogger Trojan je škodlivý software, který může monitorovat vaše stisknutí kláves, zaznamenat je do souboru a odeslat je vzdáleným útočníkům. Když je pozorováno požadované chování, zaznamená stisk klávesy a zachytí vaše přihlašovací uživatelské jméno a heslo.

20) Vysvětlete, co je Enumerace?

Proces extrahování názvu stroje, uživatelských jmen, síťových zdrojů, sdílených položek a služeb ze systému. V prostředí intranetu se provádějí techniky výčtu.

21) Vysvětlete, co je to NTP?

K synchronizaci hodin počítačů v síti se používá protokol NTP (Network Time Protocol). Pro jeho primární komunikační prostředek je použit UDP port 123. Přes veřejný internet může NTP udržovat čas do 10 milisekund

22) Vysvětlete, co je MIB?

MIB ( Management Information Base ) je virtuální databáze. Obsahuje veškerý formální popis síťových objektů, které lze spravovat pomocí SNMP. Databáze MIB je hierarchická a v MIB je každý spravovaný objekt adresován prostřednictvím identifikátorů objektů (OID).

23) Uveďte, jaké jsou typy technik prolomení hesel?

Mezi typy technik prolomení hesel patří

  • Vynucování AttackBrute
  • Hybridní útoky
  • AttackSyllable
  • AttackRule

24) Vysvětlete, jaké jsou typy fází hackování?

Typy fází hackování jsou

  • Získání AccessEscalating
  • Provádění privilegií
  • AplikaceSkrytí
  • Skladby pokrývající soubory

25) Vysvětlete, co je CSRF (Cross Site Request Forgery)? Jak tomu můžete zabránit?

CSRF nebo Cross site request forgery je útok ze škodlivého webu, který odešle požadavek webové aplikaci, proti které je uživatel již ověřen z jiného webu. Chcete-li zabránit CSRF, můžete ke každému požadavku připojit nepředvídatelný token výzvy a přiřadit jej k relaci uživatele. Zajistí vývojáři, že přijatý požadavek pochází z platného zdroje.

Certifikovaný etický hackerský kvíz

Tyto otázky Ethical Hacking MCQ vám pomohou se sebehodnocením a přípravou na zkoušku Certified Ethical Hacker. Udělejte si tento bezplatný online test CEH, který obsahuje MCQ, abyste otestovali své znalosti etického hackování.

Připravili jsme nejdůležitější otázky ohledně etického hackingu, které vám pomohou připravit se na pracovní pohovor. Tento podrobný průvodce otázkami na pohovor pro Etické hackování vám pomůže zvládnout váš pracovní pohovor a také vám pomůže ve vašem životě (ústních)

Máš rád: