РБС/Фебруар 2026

Извор: SI Wiki
Пређи на навигацију Пређи на претрагу

Испит у фебруарском испитном року 2026. године одржан је 11. марта, трајао је сат времена и радио се преко платформе Моодле у Сецуре броwсер.

  • За питања са више одговора, тачни одговори су подебљани и уоквирени
  • За питања за које се одговори уносе, тачни одговори су подвучени и сакривени, тако да се прикажу када изаберете тај текст (пример: овако)
  • Притисните лево дугме испод за сакривање и откривање свих одговора, или десно дугме за укључивање и искључивање интерактивног режима:

1. задатак

Којој врсти сигурносних пропуста припада Хеартблеед пропуст?

  1. буффер оверфлоw
  2. буффер ундер-реад
  3. буффер ундерфлоw
  4. буффер овер-реад

2. задатак

У оквиру МС СДЛ-а моделовање претњи се спроводи у фази:

  1. пуштања у продукцију (Релеасе)
  2. развоја софтвера (Девелоп)
  3. прикупљања захтеве (Реqуире)
  4. дизајна софтвера (Десигн)
  5. тестирања софтвера (Верифy)
  6. обуке (Траин)

3. задатак

СМАРТ је мнемоник који дефинише какви треба да буду софтверски захтеви, па самим тим и сигурносни захтеви. Шта означава слово Р у мнемонику?

  1. Достижни
  2. Мерљиви
  3. Могуће их је пратити кроз процес развоја
  4. Разумни
  5. Прецизно дефинисани

4. задатак

Набројати десет принципа безбедног дизајна.

Одговор:

  1. Минимизација нападне површине
  2. Принцип најмањих привилегија
  3. Дубинска одбрана (Дефенсе ин Дептх)
  4. Сигурни подразумевани параметри (Сецуре Дефаултс)
  5. Не ослањај се на нејасноћу (Сецуритy тхроугх обсцуритy ис нот еноугх)
  6. Фаил сецурелy (безбедан начин отказа)
  7. Сепарација дужности / изолација компоненти
  8. Провера улаза (Инпут валидатион)
  9. Леаст цоммон мецханисм (минимизација дељених механизама)
  10. Комплетно посматрање (Цомплете медиатион) – свака акција мора бити ауторизована

5. задатак

Објаснити шта представља ПЦИ ДСС стандард и навести коју врсту сигурносних захтева (према извору сигурносних захтева) можемо генерисати на основу овог стандарда?

Одговор:

ПЦИ ДСС (Паyмент Цард Индустрy Дата Сецуритy Стандард) је стандард који прописује сигурносне контроле за организације које обрађују, складиште или преносе податке о платним картицама. На основу ПЦИ ДСС-а генеришу се регулаторни сигурносни захтеви јер се заснивају на обавезним индустријским регулативама.

6. задатак

Интегритет представља:

  1. заштиту информација и система од неауторизоване модификације или уништења и укључује непорецивост и аутентичност
  2. обезбеђивање могућности приступа подацима и њихове употребе на време
  3. заштиту информација од неауторизованог приступа, укључујући начине за заштиту личне приватности и приватних информација

7. задатак

СТРИДЕ је мнемоник који дефинише шест категорија претњи. Која од њих је претња за интегритет?

  1. Одбијање услуге
  2. Порицање
  3. Подизање привилегија
  4. Откривање информација
  5. Измена
  6. Сакривање идентитета


8. задатак

Према референтном моделу за употребу алата за сигурносно тестирање апликација, шта се дешава уколико тестови САСТ и СЦА алата успешно прођу?

  1. Компајлирање и генерисање верзије апликације
  2. Исправка
  3. Предаја кода на тест
  4. Генерисање извештаја о грешкама и заустављање процеса испоруке

9. задатак

Објаснити да ли у коду из исечка постоји рањивост која се може експлоатисати. Уколико постоји, која је то рањивост и на који начин се у датом примеру искоришћава? 

25 16 17 56 32 7 45 9 1

#include <stdbool.h>

void authorize(int* input_data, int length) {
	bool is_admin = false;
	int values[8];

	for (int i = 0; i < length ; i++) {
		values[i] = input_data[i];
	}

	if(is_admin) {
		execute_privileged_task();
	}
}


Да, постоји. Рањивост је буффер оверфлоw / оут-оф-боундс wрите, валуес има величину 8 елемената, а ленгтх може бити већи од 8. Петља може писати ван граница низа, што омогућава нападачу да упише податке преко меморије после валуес , препише променљиву ис_админ и постави је на труе , затим добије приступ еxецуте_привилегед_таск(). Дакле, напад је заснован на експлоатацији буффер оверфлоw-а ради ескалације привилегија.


10. задатак

Који механизам валидације је примењен уколико е на следећи начин модификује претходни исечак кода? 

void authorize(int* input_data, int length) {
	bool is_admin = false;
	int values[8];
	
	errno_t err = memcpy_s (values, sizeof(values), input_data, length * sizeof(int));	

	if (err != 0) {
		return;
	}

	if(is_admin) {
		execute_privileged_task();
	}
}

Изаберите један одговор:

  1. Ниједан
  2. Употреба сигурних апи позива
  3. Wхителистинг
  4. Блацклистинг
Преузето из „https://siwiki.rs/w/index.php?title=РБС/Фебруар_2026&oldid=8340