RBS/Februar 2026

Izvor: SI Wiki
Pređi na navigaciju Pređi na pretragu

Ispit u februarskom ispitnom roku 2026. godine održan je 11. marta, trajao je sat vremena i radio se preko platforme Moodle u Secure browser.

  • За питања са више одговора, тачни одговори су подебљани и уоквирени
  • За питања за које се одговори уносе, тачни одговори су подвучени и сакривени, тако да се прикажу када изаберете тај текст (пример: овако)
  • Притисните лево дугме испод за сакривање и откривање свих одговора, или десно дугме за укључивање и искључивање интерактивног режима:

1. zadatak

Kojoj vrsti sigurnosnih propusta pripada Heartbleed propust?

  1. buffer overflow
  2. buffer under-read
  3. buffer underflow
  4. buffer over-read

2. zadatak

U okviru MS SDL-a modelovanje pretnji se sprovodi u fazi:

  1. puštanja u produkciju (Release)
  2. razvoja softvera (Develop)
  3. prikupljanja zahteve (Require)
  4. dizajna softvera (Design)
  5. testiranja softvera (Verify)
  6. obuke (Train)

3. zadatak

SMART je mnemonik koji definiše kakvi treba da budu softverski zahtevi, pa samim tim i sigurnosni zahtevi. Šta označava slovo R u mnemoniku?

  1. Dostižni
  2. Merljivi
  3. Moguće ih je pratiti kroz proces razvoja
  4. Razumni
  5. Precizno definisani

4. zadatak

Nabrojati deset principa bezbednog dizajna.

Odgovor:

  1. Minimizacija napadne površine
  2. Princip najmanjih privilegija
  3. Dubinska odbrana (Defense in Depth)
  4. Sigurni podrazumevani parametri (Secure Defaults)
  5. Ne oslanjaj se na nejasnoću (Security through obscurity is not enough)
  6. Fail securely (bezbedan način otkaza)
  7. Separacija dužnosti / izolacija komponenti
  8. Provera ulaza (Input validation)
  9. Least common mechanism (minimizacija deljenih mehanizama)
  10. Kompletno posmatranje (Complete mediation) – svaka akcija mora biti autorizovana

5. zadatak

Objasniti šta predstavlja PCI DSS standard i navesti koju vrstu sigurnosnih zahteva (prema izvoru sigurnosnih zahteva) možemo generisati na osnovu ovog standarda?

Odgovor:

PCI DSS (Payment Card Industry Data Security Standard) je standard koji propisuje sigurnosne kontrole za organizacije koje obrađuju, skladište ili prenose podatke o platnim karticama. Na osnovu PCI DSS-a generišu se regulatorni sigurnosni zahtevi jer se zasnivaju na obaveznim industrijskim regulativama.

6. zadatak

Integritet predstavlja:

  1. zaštitu informacija i sistema od neautorizovane modifikacije ili uništenja i uključuje neporecivost i autentičnost
  2. obezbeđivanje mogućnosti pristupa podacima i njihove upotrebe na vreme
  3. zaštitu informacija od neautorizovanog pristupa, uključujući načine za zaštitu lične privatnosti i privatnih informacija

7. zadatak

STRIDE je mnemonik koji definiše šest kategorija pretnji. Koja od njih je pretnja za integritet?

  1. Odbijanje usluge
  2. Poricanje
  3. Podizanje privilegija
  4. Otkrivanje informacija
  5. Izmena
  6. Sakrivanje identiteta


8. zadatak

Prema referentnom modelu za upotrebu alata za sigurnosno testiranje aplikacija, šta se dešava ukoliko testovi SAST i SCA alata uspešno prođu?

  1. Kompajliranje i generisanje verzije aplikacije
  2. Ispravka
  3. Predaja koda na test
  4. Generisanje izveštaja o greškama i zaustavljanje procesa isporuke

9. zadatak

Objasniti da li u kodu iz isečka postoji ranjivost koja se može eksploatisati. Ukoliko postoji, koja je to ranjivost i na koji način se u datom primeru iskorišćava? 

25 16 17 56 32 7 45 9 1

#include <stdbool.h>

void authorize(int* input_data, int length) {
	bool is_admin = false;
	int values[8];

	for (int i = 0; i < length ; i++) {
		values[i] = input_data[i];
	}

	if(is_admin) {
		execute_privileged_task();
	}
}


Da, postoji. Ranjivost je buffer overflow / out-of-bounds write, values ima veličinu 8 elemenata, a length može biti veći od 8. Petlja može pisati van granica niza, što omogućava napadaču da upiše podatke preko memorije posle values , prepiše promenljivu is_admin i postavi je na true , zatim dobije pristup execute_privileged_task(). Dakle, napad je zasnovan na eksploataciji buffer overflow-a radi eskalacije privilegija.


10. zadatak

Koji mehanizam validacije je primenjen ukoliko e na sledeći način modifikuje prethodni isečak koda? 

void authorize(int* input_data, int length) {
	bool is_admin = false;
	int values[8];
	
	errno_t err = memcpy_s (values, sizeof(values), input_data, length * sizeof(int));	

	if (err != 0) {
		return;
	}

	if(is_admin) {
		execute_privileged_task();
	}
}

Izaberite jedan odgovor:

  1. Nijedan
  2. Upotreba sigurnih api poziva
  3. Whitelisting
  4. Blacklisting
Preuzeto iz „https://siwiki.rs/w/index.php?title=РБС/Фебруар_2026&oldid=8340