РБС/Јануар 2026
Испит у јануарском испитном року 2026. године одржан је 18. фебруара, трајао је сат времена и радио се преко платформе Моодле у Сецуре броwсер.
- За питања са више одговора, тачни одговори су подебљани и уоквирени
- За питања за које се одговори уносе, тачни одговори су подвучени и сакривени, тако да се прикажу када изаберете тај текст (пример: овако)
- Притисните лево дугме испод за сакривање и откривање свих одговора, или десно дугме за укључивање и искључивање интерактивног режима:
1. задатак
У оквиру Хеартбеат протокола коришћена је мемцпy библиотечка функција програмског језика C која је довела до Хеартблеад сигурносног пропуста. У чему је био проблем и како га је могуће избећи?
Одговор:
Функција има потпис мемцпy(бп, пл, паyлоад) која копира паyлоад бајтова из бафера пл у бп. Ово се користи у Хеартбеат за проверу да ли је сервер активан. Клијент шаље поруку и дужину поруке серверу, и сервер одговара истом поруком. Рањивост настаје јер се не ради провера да ли је паyлоад већи од величине пл, па клијент може да пошаље поруку величине 4Б, а паyлоад да постави на 128КБ, и самим тим да прочита осетљиве информације - лозинке, податке о бројевима кредитних картица и слично - буффер оверреад. Ово се може превазићи једноставном провером да ли је паyлоад већи од величине пл, и ако да да се пријави грешка.
2. задатак
Да ли се код НИСТ ССДФ оквира за развој безбедног софтвера примењује статичка анализа и уколико се примењује , у којој групи пракси?
- Не примењује се
- Одговорити на рањивост (Респонд то Вулнерабилитиес)
- Заштитити софтвер (Протецт тхе Софтwаре)
- Произвести добро заштићен софтвер (Продуце Wелл Сецуред Софтwаре)
- Припремити организацију (Препаре тхе Организатион)
3. задатак
Према извору сигурносни захтеви се деле на експлицитне и квалитативне. Како се добијају експлицитни сигурносни захтеви? Дати пример неког експлицитног сигурносног захтева и објаснити како је добијен.
Одговор:
Експлицитни захтеви потичи из регулатива и стандарда. Регулативе прописују заштиту ИКТ и заштиту од напада (закони). Морају се испоштовати. Стандардни су документа одобрена од стране препознатих или признатих тела за стандардизацију. Не морају се испоштивати. Пример експлицитног захтева - закон прописује да налози на еУправи морају имати лозинку од најмање 10 карактера, и то бар 1 велико слово, бар 1 број и бар 1 специјални карактер из одређеног скупа. Ово је добијено јер је показано да се применом ових критеријума отежава проваљивање лозинке познатим техникама.
4. задатак
Који од следећих принципа не припада листи принципа безбедног дизајна?
- Опрезно додељивати поверење
- Не ослањати се на нејасност
- Користити једноставна решења
- Осигурати најслабију карику
- Обезбедити грешке и користити сигурне подразумеване акције
- Имплементирати одбрану у дубину
- Доделити највеће могуће привилегије
- Раздвојити одговорности
- Не измишљати безбедносну технологију
- Бележити осетљиве догађаје
5. задатак
Ако у систему имамо 5 објеката и 5000 субјеката, коју контролу приступа је боље користити?
- Листе за контролу приступа
- Контрола приступа заснована на улогама.
6. задатак
СТРИДЕ је мнемоник који дефинише шест категорија претњи. Која од њих је претња за ауторизацију?
- Одбијање услуге
- Сакривање идентитета
- Порицање
- Подизање привилегија
- Измена
- Откривање информација
7. задатак
Када кажемо да нам је стратегија избегавања ризика дељење ризика, то онда значи:
- Да се неће ништа предузимати
- Ангажовање треће стране да се избегне претња или информисање клијента да је његова обавеза да се позабави ризиком
- Избацивање модула који уводи ризик
- Промену дизајна модула, додавање нових радних задатака, куповину додатних алата
8. задатак
У ОССТММ, шта представља слепо тестирање?
- Аналитичар познаје све детаље о могућим нападима, а мета је спремна за тестирање и зна унапред све детаље тестирања.
- Аналитичар познаје канале напада и делимично одбране система, а мета је обавештена о нападу и оквиром тестирања, али не и са каналима и векторима напада.
- Аналитичар нема предзнање о систему који тестира, а мета није унапред упозната са тестирањем.
- Аналитичар нема предзнање о систему који тестира, а мета је спремна за тестирање и зна унапред све детаље тестирања.
- Аналитичар познаје све детаље о могућим нападима, а мета није унапред упозната са тестирањем.
- Аналитичар познаје канале напада и делимично одбране система, а мета је спремна за тестирање и зна унапред све детаље тестирања.
9. задатак
Који механизам валидације је примењен у следећем примеру кода?
LOG_FILES = ["auth.log", "syslog", "access.log"]
def display_log(log_file_name):
if log_file_name not in LOG_FILES:
return "Invalid log file selection"
result = subprocess.run(["cat", f"/var/log/{log_file_name}"], capture_output=True, text=True)
return result.stdout
Изаберите један одговор:
- Употреба сигурних апи позива
- Блацклистинг
- Wхителистинг
- Документован је очекиван унос
10. задатак
Објаснити шта се догађа уколико се у истом исечку кода као лог_филе_наме проследи следећи низ карактера:
"syslog; rm -rf"
LOG_FILE_LIST = ["data_log", "system", "access"]
def read_logs(log_file_name):
if log_file_name not in LOG_FILE_LIST:
return "Invalid log file name"
result = subprocess.run(["cat", f"/var/log/{log_file_name}.log"], capture_output=True, text=True)
return result.stdout
Додатно, укратко објаснити механизам валидације примењен у овом примеру.
Одговор:
Унос поред дозвољене ниске садржи и недозвољене карактере, па ће програм вратити Инвалид лог филе наме. Овде се користи техника wхителистинг, за спречавање Цомманд ињецтион напада - до ког долази услед Импропер инпут валидатион. Постоји листа дозвољених уноса, ако наш унос није међу њима, он се одбацује и пријављује се грешка. Ово је проактиван приступ, смањује значајно могућност за напад и самим тим је боља техника од блацкистинга.
Напомене
- Овај рок је написан искључиво по сећању студената.
- У одређеним задацима експлицитне вредности или понуђени одговори можда нису исти као у оригиналној поставци, међутим у свим задацима где је то случај, очувана је суштина задатка.