РБС/Јануар 2026

Извор: SI Wiki
Пређи на навигацију Пређи на претрагу

Испит у јануарском испитном року 2026. године одржан је 18. фебруара, трајао је сат времена и радио се преко платформе Моодле у Сецуре броwсер.

  • За питања са више одговора, тачни одговори су подебљани и уоквирени
  • За питања за које се одговори уносе, тачни одговори су подвучени и сакривени, тако да се прикажу када изаберете тај текст (пример: овако)
  • Притисните лево дугме испод за сакривање и откривање свих одговора, или десно дугме за укључивање и искључивање интерактивног режима:

1. задатак

У Хеартбеат протоколу користи се библиотечка функција мемцпy из језика C и њено коришћење је довело до рањивости Хеартблеад. Објаснити како је ова функција довела до тога и како се ово може превазићи.

Одговор:

Функција има потпис мемцпy(бп, пл, паyлоад) која копира паyлоад бајтова из бафера пл у бп. Ово се користи у Хеартбеат за проверу да ли је сервер активан. Клијент шаље поруку и дужину поруке серверу, и сервер одговара истом поруком. Рањивост настаје јер се не ради провера да ли је паyлоад већи од величине пл, па клијент може да пошаље поруку величине 4Б, а паyлоад да постави на 128КБ, и самим тим да прочита осетљиве информације - лозинке, податке о бројевима кредитних картица и слично - буффер оверреад. Ово се може превазићи једноставном провером да ли је паyлоад већи од величине пл, и ако да да се пријави грешка.

2. задатак

Шта од наведеног не спада у принципе безбедног дизајна:

  1. Раздвојити одговорности
  2. Осигурати најслабију карику
  3. Доделити највеће потребне привилегије
  4. Користити једноставна решења
  5. Бележити осетљиве догађаје
  6. Не ослањати се на нејасност
  7. Имплементирати одбрану у дубину
  8. Не измишљати безбедносну технологију
  9. Опрезно додељивати поверење:

3. задатак

Постоје експлицитни и квалитативни сигурносни захтеви. Одакле потичу експлицитни сигурносни захтеви. Навести пример експлицитног захтева и објаснити како је добијен.

Одговор:

Експлицитни захтеви потичи из регулатива и стандарда. Регулативе прописују заштиту ИКТ и заштиту од напада (закони). Морају се испоштовати. Стандардни су документа одобрена од стране препознатих или признатих тела за стандардизацију. Не морају се испоштивати. Пример експлицитног захтева - закон прописује да налози на еУправи морају имати лозинку од најмање 10 карактера, и то бар 1 велико слово, бар 1 број и бар 1 специјални карактер из одређеног скупа. Ово је добијено јер је показано да се применом ових критеријума отежава проваљивање лозинке познатим техникама.

4. задатак

Ако у систему имамо 5 објеката и 5000 субјеката, коју контролу приступа је боље користити?

  1. Контрола приступа заснована на улогама
  2. Листе за контролу приступа

5. задатак

У НИСТ ССДФ да ли се користи статицко тестирање и ако да, у којој фази?

  1. Припрема организације
  2. Заштита софтвера
  3. Продукција добро заштићеног софтвера
  4. Одговор на рањивости
  5. Не примењује се

6. задатак

У СТРИДЕ методологији, шта представља претњу Ауторизацији?

  1. Скривање идентитета
  2. Неауторизована измена података
  3. Оспоравање
  4. Неауторизован приступ подацима
  5. Онемогућавање приступа
  6. Подизање привилегија

7. задатак

У ОССТММ, шта представља слепо тестирање?

  1. Аналитичар нема предзнање о систему, а мета је спремна и унапред упозната са тестирањем.
  2. Аналитичар нема предзнање о систему, а мета није спремна нити упозната са тестирањем.
  3. Аналитичар познаје канале напада и делимично одбране, а мета је спремна и унапред упозната са свим детаљима.
  4. Аналитичар познаје канале напада и делимично одбране, а мета је упозната са оквиром тестирања, али не и са каналима и векторима напада.
  5. Аналитичар познаје све детаље о могућим нападима, а мета је спремна и унапред упозната са свим детаљима.
  6. Аналитичар познаје све детаље о могућим нападима, а мета није спремна нити упозната са тестирањем.

8. задатак

Шта представља дељење ризика?

  1. Промена дизајна модула, додавање нових радних задатака, куповина додатних алата?
  2. Уклањање модула који уводи ризик
  3. Ангажовање треће стране да се избегне претња или информисање клијента да је његова обаваза да се позабави претњом
  4. Прихватање ризика

9. задатак

LOG_FILE_LIST = ["data_log", "system", "access"]
def read_logs(log_file_name):
	if log_file_name not in LOG_FILE_LIST:
		return "Invalid log file name"
	result = subprocess.run(["cat", f"/var/log/{log_file_name}.log"], capture_output=True, text=True)
    return result.stdout

Која техника је примењена?

  1. Блацкистинг
  2. Wхителистинг
  3. Безбедан позив АПИ
  4. Бележење корисничких акција

10. задатак

За исти код из претходног задатка уноси се 

system; rm -rf /

Објаснити како ће бити обрађен овај унос. 

LOG_FILE_LIST = ["data_log", "system", "access"]
def read_logs(log_file_name):
	if log_file_name not in LOG_FILE_LIST:
		return "Invalid log file name"
	result = subprocess.run(["cat", f"/var/log/{log_file_name}.log"], capture_output=True, text=True)
    return result.stdout

Додатно укратко објаснити овај механизам заштите.

Одговор:

Унос поред дозвољене ниске садржи и недозвољене карактере, па ће програм вратити Инвалид лог филе наме. Овде се користи техника wхителистинг, за спречавање Цомманд ињецтион напада - до ког долази услед Импропер инпут валидатион. Постоји листа дозвољених уноса, ако наш унос није међу њима, он се одбацује и пријављује се грешка. Ово је проактиван приступ, смањује значајно могућност за напад и самим тим је боља техника од блацкистинга.

Напомене

  • Овај рок је написан искључиво по сећању студената.
  • У одређеним задацима експлицитне вредности или понуђени одговори можда нису исте као у оригиналној поставци, међутим у свим задацима где је то случај, очувана је суштина задатка.
Преузето из „https://siwiki.rs/w/index.php?title=РБС/Јануар_2026&oldid=8266