SI Wiki - Кориснички доприноси [sr]

РБС/Фебруар 2026

2026-03-13T18:08:25Z

Randommmennn: Izbaciti nepotrebne stvari

{{tocright}}
'''Ispit u februarskom ispitnom roku 2026. godine''' održan je 11. marta, trajao je sat vremena i radio se preko platforme Moodle u Secure browser.
{{rešenja}}

== 1. zadatak ==
Kojoj vrsti sigurnosnih propusta pripada Heartbleed propust?
<div class="abc-list" data-solution="single">
# buffer overflow
# buffer under-read
# buffer underflow
# <span class="solution">buffer over-read</span>
</div>

== 2. zadatak ==
U okviru MS SDL-a modelovanje pretnji se sprovodi u fazi:
<div class="abc-list" data-solution="single">
# puštanja u produkciju (Release)
# razvoja softvera (Develop)
# prikupljanja zahteve (Require)
# <span class="solution">dizajna softvera (Design)</span>
# testiranja softvera (Verify)
# obuke (Train)
</div>

== 3. zadatak ==
SMART je mnemonik koji definiše kakvi treba da budu softverski zahtevi, pa samim tim i sigurnosni zahtevi. Šta označava slovo R u mnemoniku?
<div class="abc-list" data-solution="single">
# Dostižni
# Merljivi
# Moguće ih je pratiti kroz proces razvoja
# <span class="solution">Razumni</span>
# Precizno definisani
</div>

== 4. zadatak ==
Nabrojati deset principa bezbednog dizajna.

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
# Minimizacija napadne površine
# Princip najmanjih privilegija
# Dubinska odbrana (Defense in Depth)
# Sigurni podrazumevani parametri (Secure Defaults)
# Ne oslanjaj se na nejasnoću (Security through obscurity is not enough)
# Fail securely (bezbedan način otkaza)
# Separacija dužnosti / izolacija komponenti
# Provera ulaza (Input validation)
# Least common mechanism (minimizacija deljenih mehanizama)
# Kompletno posmatranje (Complete mediation) – svaka akcija mora biti autorizovana
</div>

== 5. zadatak ==
Objasniti šta predstavlja PCI DSS standard i navesti koju vrstu sigurnosnih zahteva (prema izvoru sigurnosnih zahteva) možemo generisati na osnovu ovog standarda?

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
PCI DSS (Payment Card Industry Data Security Standard) je standard koji propisuje sigurnosne kontrole za organizacije koje obrađuju, skladište ili prenose podatke o platnim karticama.
Na osnovu PCI DSS-a generišu se regulatorni sigurnosni zahtevi jer se zasnivaju na obaveznim industrijskim regulativama.
</div>

== 6. zadatak ==
Integritet predstavlja:
<div class="abc-list" data-solution="single">
# <span class="solution">zaštitu informacija i sistema od neautorizovane modifikacije ili uništenja i uključuje neporecivost i autentičnost</span>
# obezbeđivanje mogućnosti pristupa podacima i njihove upotrebe na vreme
# zaštitu informacija od neautorizovanog pristupa, uključujući načine za zaštitu lične privatnosti i privatnih informacija
</div>

== 7. zadatak ==
STRIDE je mnemonik koji definiše šest kategorija pretnji. Koja od njih je pretnja za integritet?
<div class="abc-list" data-solution="single">
# Odbijanje usluge
# Poricanje
# Podizanje privilegija
# Otkrivanje informacija
# <span class="solution">Izmena</span>
# Sakrivanje identiteta
</div>

== 8. zadatak ==
Prema referentnom modelu za upotrebu alata za sigurnosno testiranje aplikacija, šta se dešava ukoliko testovi SAST i SCA alata uspešno prođu?
<div class="abc-list" data-solution="single">
# Kompajliranje i generisanje verzije aplikacije
# Ispravka
# <span class="solution">Predaja koda na test</span>
# Generisanje izveštaja o greškama i zaustavljanje procesa isporuke
</div>

== 9. zadatak ==
Objasniti da li u kodu iz isečka postoji ranjivost koja se može eksploatisati. Ukoliko postoji, koja je to ranjivost i na koji način se u datom primeru iskorišćava?
<syntaxhighlight lang="python">
25 16 17 56 32 7 45 9 1
</syntaxhighlight>

<syntaxhighlight lang="C">
#include <stdbool.h>

void authorize(int* input_data, int length) {
bool is_admin = false;
int values[8];

for (int i = 0; i < length ; i++) {
values[i] = input_data[i];
}

if(is_admin) {
execute_privileged_task();
}
}
</syntaxhighlight>

Da, postoji. Ranjivost je buffer overflow / out-of-bounds write, '''values''' ima veličinu 8 elemenata, a length može biti veći od 8. Petlja može pisati van granica niza, što omogućava napadaču da upiše podatke preko memorije posle '''values''' , prepiše promenljivu '''is_admin''' i postavi je na '''true''' , zatim dobije pristup execute_privileged_task(). Dakle, napad je zasnovan na eksploataciji buffer overflow-a radi eskalacije privilegija.

== 10. zadatak ==
Koji mehanizam validacije je primenjen ukoliko e na sledeći način modifikuje prethodni isečak koda?

<syntaxhighlight lang="C">
void authorize(int* input_data, int length) {
bool is_admin = false;
int values[8];

errno_t err = memcpy_s (values, sizeof(values), input_data, length * sizeof(int));

if (err != 0) {
return;
}

if(is_admin) {
execute_privileged_task();
}
}
</syntaxhighlight>
Izaberite jedan odgovor:
<div class="abc-list" data-solution="single">
# Nijedan
# <span class="solution">Upotreba sigurnih api poziva</span>
# Whitelisting
# Blacklisting
</div>

[[Категорија:Рокови]]
[[Категорија:РБС]]

РБС/Фебруар 2026

2026-03-13T18:05:03Z

Randommmennn: Dodati RBS februar 26

{{tocright}}
'''Ispit u februarskom ispitnom roku 2026. godine''' održan je 11. marta, trajao je sat vremena i radio se preko platforme Moodle u Secure browser.
{{rešenja}}




== 1. zadatak ==
Kojoj vrsti sigurnosnih propusta pripada Heartbleed propust?
<div class="abc-list" data-solution="single">
# buffer overflow
# buffer under-read
# buffer underflow
# <span class="solution">buffer over-read</span>
</div>

Objašnjenje: <span class="spoiler" data-solution="explanation">Dobro je da zadaci sa neočiglednim odgovorima imaju objašnjenje ispod sebe.</span>

== 2. zadatak ==
U okviru MS SDL-a modelovanje pretnji se sprovodi u fazi:
<div class="abc-list" data-solution="single">
# puštanja u produkciju (Release)
# razvoja softvera (Develop)
# prikupljanja zahteve (Require)
# <span class="solution">dizajna softvera (Design)</span>
# testiranja softvera (Verify)
# obuke (Train)
</div>

== 3. zadatak ==
SMART je mnemonik koji definiše kakvi treba da budu softverski zahtevi, pa samim tim i sigurnosni zahtevi. Šta označava slovo R u mnemoniku?
<div class="abc-list" data-solution="single">
# Dostižni
# Merljivi
# Moguće ih je pratiti kroz proces razvoja
# <span class="solution">Razumni</span>
# Precizno definisani
</div>

== 4. zadatak ==
Nabrojati deset principa bezbednog dizajna.

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
# Minimizacija napadne površine
# Princip najmanjih privilegija
# Dubinska odbrana (Defense in Depth)
# Sigurni podrazumevani parametri (Secure Defaults)
# Ne oslanjaj se na nejasnoću (Security through obscurity is not enough)
# Fail securely (bezbedan način otkaza)
# Separacija dužnosti / izolacija komponenti
# Provera ulaza (Input validation)
# Least common mechanism (minimizacija deljenih mehanizama)
# Kompletno posmatranje (Complete mediation) – svaka akcija mora biti autorizovana
</div>

== 5. zadatak ==
Objasniti šta predstavlja PCI DSS standard i navesti koju vrstu sigurnosnih zahteva (prema izvoru sigurnosnih zahteva) možemo generisati na osnovu ovog standarda?

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
PCI DSS (Payment Card Industry Data Security Standard) je standard koji propisuje sigurnosne kontrole za organizacije koje obrađuju, skladište ili prenose podatke o platnim karticama.
Na osnovu PCI DSS-a generišu se regulatorni sigurnosni zahtevi jer se zasnivaju na obaveznim industrijskim regulativama.
</div>

== 6. zadatak ==
Integritet predstavlja:
<div class="abc-list" data-solution="single">
# <span class="solution">zaštitu informacija i sistema od neautorizovane modifikacije ili uništenja i uključuje neporecivost i autentičnost</span>
# obezbeđivanje mogućnosti pristupa podacima i njihove upotrebe na vreme
# zaštitu informacija od neautorizovanog pristupa, uključujući načine za zaštitu lične privatnosti i privatnih informacija
</div>

== 7. zadatak ==
STRIDE je mnemonik koji definiše šest kategorija pretnji. Koja od njih je pretnja za integritet?
<div class="abc-list" data-solution="single">
# Odbijanje usluge
# Poricanje
# Podizanje privilegija
# Otkrivanje informacija
# <span class="solution">Izmena</span>
# Sakrivanje identiteta
</div>

== 8. zadatak ==
Prema referentnom modelu za upotrebu alata za sigurnosno testiranje aplikacija, šta se dešava ukoliko testovi SAST i SCA alata uspešno prođu?
<div class="abc-list" data-solution="single">
# Kompajliranje i generisanje verzije aplikacije
# Ispravka
# <span class="solution">Predaja koda na test</span>
# Generisanje izveštaja o greškama i zaustavljanje procesa isporuke
</div>

== 9. zadatak ==
Objasniti da li u kodu iz isečka postoji ranjivost koja se može eksploatisati. Ukoliko postoji, koja je to ranjivost i na koji način se u datom primeru iskorišćava?
<syntaxhighlight lang="python">
25 16 17 56 32 7 45 9 1
</syntaxhighlight>

<syntaxhighlight lang="C">
#include <stdbool.h>

void authorize(int* input_data, int length) {
bool is_admin = false;
int values[8];

for (int i = 0; i < length ; i++) {
values[i] = input_data[i];
}

if(is_admin) {
execute_privileged_task();
}
}
</syntaxhighlight>

Da, postoji. Ranjivost je buffer overflow / out-of-bounds write, '''values''' ima veličinu 8 elemenata, a length može biti veći od 8. Petlja može pisati van granica niza, što omogućava napadaču da upiše podatke preko memorije posle '''values''' , prepiše promenljivu '''is_admin''' i postavi je na '''true''' , zatim dobije pristup execute_privileged_task(). Dakle, napad je zasnovan na eksploataciji buffer overflow-a radi eskalacije privilegija.

== 10. zadatak ==
Koji mehanizam validacije je primenjen ukoliko e na sledeći način modifikuje prethodni isečak koda?

<syntaxhighlight lang="C">
void authorize(int* input_data, int length) {
bool is_admin = false;
int values[8];

errno_t err = memcpy_s (values, sizeof(values), input_data, length * sizeof(int));

if (err != 0) {
return;
}

if(is_admin) {
execute_privileged_task();
}
}
</syntaxhighlight>
Izaberite jedan odgovor:
<div class="abc-list" data-solution="single">
# Nijedan
# <span class="solution">Upotreba sigurnih api poziva</span>
# Whitelisting
# Blacklisting
</div>

== Napomene ==

<references />

[[Категорија:Рокови]]
[[Категорија:РБС]]

РБС/Јануар 2026

2026-03-12T20:38:19Z

Randommmennn: Dopunjeno po secanju zadataka iz januarskog roka

{{tocright}}
'''Ispit u januarskom ispitnom roku 2026. godine''' održan je 18. februara, trajao je sat vremena i radio se preko platforme ''Moodle'' u ''Secure browser''.
{{rešenja}}

=== 1. zadatak ===

U okviru ''Heartbeat'' protokola korišćena je ''memcpy'' bibliotečka funkcija programskog jezika '''C''' koja je dovela do ''Heartblead'' sigurnosnog propusta. U čemu je bio problem i kako ga je moguće izbeći?

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
Funkcija ima potpis memcpy(bp, pl, payload) koja kopira payload bajtova iz bafera pl u bp. Ovo se koristi u Heartbeat za proveru da li je server aktivan. Klijent šalje poruku i dužinu poruke serveru, i server odgovara istom porukom. Ranjivost nastaje jer se ne radi provera da li je payload veći od veličine pl, pa klijent može da pošalje poruku veličine 4B, a payload da postavi na 128KB, i samim tim da pročita osetljive informacije - lozinke, podatke o brojevima kreditnih kartica i slično - buffer overread. Ovo se može prevazići jednostavnom proverom da li je payload veći od veličine pl, i ako da da se prijavi greška.
</div>

=== 2. zadatak ===
Da li se kod ''NIST SSDF'' okvira za razvoj bezbednog softvera primenjuje statička analiza i ukoliko se primenjuje , u kojoj grupi praksi?
<div class="abc-list" data-solution="single">
# Ne primenjuje se
# Odgovoriti na ranjivost (Respond to Vulnerabilities)
# Zaštititi softver (Protect the Software)
# <span class="solution">Proizvesti dobro zaštićen softver (Produce Well Secured Software)</span>
# Pripremiti organizaciju (Prepare the Organization)
</div>

=== 3. zadatak ===
Prema izvoru sigurnosni zahtevi se dele na eksplicitne i kvalitativne. Kako se dobijaju eksplicitni sigurnosni zahtevi? Dati primer nekog eksplicitnog sigurnosnog zahteva i objasniti kako je dobijen.

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
Eksplicitni zahtevi potiči iz regulativa i standarda. Regulative propisuju zaštitu IKT i zaštitu od napada (zakoni). Moraju se ispoštovati. Standardni su dokumenta odobrena od strane prepoznatih ili priznatih tela za standardizaciju. Ne moraju se ispoštivati. Primer eksplicitnog zahteva - zakon propisuje da nalozi na eUpravi moraju imati lozinku od najmanje 10 karaktera, i to bar 1 veliko slovo, bar 1 broj i bar 1 specijalni karakter iz određenog skupa. Ovo je dobijeno jer je pokazano da se primenom ovih kriterijuma otežava provaljivanje lozinke poznatim tehnikama.
</div>

=== 4. zadatak ===
Koji od sledećih principa ne pripada listi principa bezbednog dizajna?
<div class="abc-list" data-solution="single">
# Oprezno dodeljivati poverenje
# Ne oslanjati se na nejasnost
# Koristiti jednostavna rešenja
# Osigurati najslabiju kariku
# Obezbediti greške i koristiti sigurne podrazumevane akcije
# Implementirati odbranu u dubinu
# <span class="solution">Dodeliti najveće moguće privilegije</span>
# Razdvojiti odgovornosti
# Ne izmišljati bezbednosnu tehnologiju
# Beležiti osetljive događaje
</div>

=== 5. zadatak ===
Ako u sistemu imamo 5 objekata i 5000 subjekata, koju kontrolu pristupa je bolje koristiti?
<div class="abc-list" data-solution="single">
# <span class="solution">Liste za kontrolu pristupa</span>
# Kontrola pristupa zasnovana na ulogama.
</div>

=== 6. zadatak ===
'''STRIDE''' je mnemonik koji definiše šest kategorija pretnji. Koja od njih je pretnja za autorizaciju?
<div class="abc-list" data-solution="single">
# Odbijanje usluge
# Sakrivanje identiteta
# Poricanje
# <span class="solution">Podizanje privilegija</span>
# Izmena
# Otkrivanje informacija
</div>

=== 7. zadatak ===
Kada kažemo da nam je strategija izbegavanja rizika '''deljenje rizika''', to onda znači:
<div class="abc-list" data-solution="single">
# Da se neće ništa preduzimati
# <span class="solution">Angažovanje treće strane da se izbegne pretnja ili informisanje klijenta da je njegova obaveza da se pozabavi rizikom</span>
# Izbacivanje modula koji uvodi rizik
# Promenu dizajna modula, dodavanje novih radnih zadataka, kupovinu dodatnih alata
</div>

=== 8. zadatak ===
U '''OSSTMM''', šta predstavlja slepo testiranje?
<div class="abc-list" data-solution="single">
# Analitičar poznaje sve detalje o mogućim napadima, a meta je spremna za testiranje i zna unapred sve detalje testiranja.
# Analitičar poznaje kanale napada i delimično odbrane sistema, a meta je obaveštena o napadu i okvirom testiranja, ali ne i sa kanalima i vektorima napada.
# Analitičar nema predznanje o sistemu koji testira, a meta nije unapred upoznata sa testiranjem.
# <span class="solution">Analitičar nema predznanje o sistemu koji testira, a meta je spremna za testiranje i zna unapred sve detalje testiranja.</span>
# Analitičar poznaje sve detalje o mogućim napadima, a meta nije unapred upoznata sa testiranjem.
# Analitičar poznaje kanale napada i delimično odbrane sistema, a meta je spremna za testiranje i zna unapred sve detalje testiranja.
</div>

=== 9. zadatak ===
Koji mehanizam validacije je primenjen u sledećem primeru koda?
<syntaxhighlight lang="python">
LOG_FILES = ["auth.log", "syslog", "access.log"]
def display_log(log_file_name):
if log_file_name not in LOG_FILES:
return "Invalid log file selection"
result = subprocess.run(["cat", f"/var/log/{log_file_name}"], capture_output=True, text=True)
return result.stdout
</syntaxhighlight>

Izaberite jedan odgovor:
<div class="abc-list" data-solution="single">
# Upotreba sigurnih api poziva
# Blacklisting
# <span class="solution">Whitelisting</span>
# Dokumentovan je očekivan unos
</div>

=== 10. zadatak ===
Objasniti šta se događa ukoliko se u istom isečku koda kao log_file_name prosledi sledeći niz karaktera:

<syntaxhighlight lang="python">
"syslog; rm -rf"
</syntaxhighlight>

<syntaxhighlight lang="python">
LOG_FILE_LIST = ["data_log", "system", "access"]
def read_logs(log_file_name):
if log_file_name not in LOG_FILE_LIST:
return "Invalid log file name"
result = subprocess.run(["cat", f"/var/log/{log_file_name}.log"], capture_output=True, text=True)
return result.stdout
</syntaxhighlight>

Dodatno, ukratko objasniti mehanizam validacije primenjen u ovom primeru.

'''Odgovor:'''
<div class="spoiler" data-solution="plain">
Unos pored dozvoljene niske sadrži i nedozvoljene karaktere, pa će program vratiti Invalid log file name. Ovde se koristi tehnika ''whitelisting'', za sprečavanje ''Command injection'' napada - do kog dolazi usled ''Improper input validation''. Postoji lista dozvoljenih unosa, ako naš unos nije među njima, on se odbacuje i prijavljuje se greška. Ovo je proaktivan pristup, smanjuje značajno mogućnost za napad i samim tim je bolja tehnika od blackistinga.
</div>

== Napomene ==
* Ovaj rok je napisan <strong>isključivo po sećanju studenata</strong>.
* U određenim zadacima eksplicitne vrednosti ili ponuđeni odgovori možda nisu isti kao u originalnoj postavci, međutim u svim zadacima gde je to slučaj, očuvana je suština zadatka.

[[Категорија:Рокови]]
[[Категорија:РБС]]