1. Phương pháp tấn công nào lợi dụng sự tin tưởng của người dùng để đánh cắp thông tin nhạy cảm như mật khẩu hoặc thông tin thẻ tín dụng?
A. Tấn công từ chối dịch vụ (DoS)
B. Tấn công SQL Injection
C. Tấn công lừa đảo (Phishing)
D. Tấn công Man-in-the-Middle (MITM)
2. Loại phần mềm độc hại nào tự nhân bản và lây lan sang các máy tính khác trong mạng mà không cần sự can thiệp của người dùng?
A. Trojan
B. Virus
C. Worm (Sâu máy tính)
D. Spyware
3. Biện pháp bảo mật nào giúp mã hóa dữ liệu khi truyền qua mạng, đảm bảo tính bảo mật và toàn vẹn thông tin?
A. Firewall
B. VPN (Mạng riêng ảo)
C. IDS (Hệ thống phát hiện xâm nhập)
D. Antivirus
4. Kỹ thuật tấn công nào chèn mã độc vào các truy vấn cơ sở dữ liệu để truy cập hoặc thay đổi dữ liệu trái phép?
A. Cross-Site Scripting (XSS)
B. SQL Injection
C. Denial of Service (DoS)
D. Buffer Overflow
5. Thiết bị hoặc phần mềm nào hoạt động như một bức tường lửa, kiểm soát lưu lượng mạng ra vào dựa trên các quy tắc được định nghĩa?
A. Router
B. Switch
C. Firewall
D. Modem
6. Khái niệm `Zero-day vulnerability` đề cập đến điều gì?
A. Lỗ hổng bảo mật đã được vá lỗi
B. Lỗ hổng bảo mật chưa được công khai
C. Lỗ hổng bảo mật đã được khai thác trong 24 giờ
D. Lỗ hổng bảo mật mà nhà phát triển chưa biết đến và chưa có bản vá
7. Phương thức xác thực nào sử dụng nhiều yếu tố khác nhau (ví dụ: mật khẩu, vân tay, mã OTP) để tăng cường bảo mật?
A. Xác thực một yếu tố (Single-factor authentication)
B. Xác thực hai yếu tố (Two-factor authentication)
C. Xác thực đa yếu tố (Multi-factor authentication)
D. Xác thực sinh trắc học (Biometric authentication)
8. Loại tấn công nào làm cho hệ thống hoặc dịch vụ trở nên không khả dụng đối với người dùng hợp pháp bằng cách làm quá tải tài nguyên?
A. Man-in-the-Middle (MITM)
B. Phishing
C. Denial of Service (DoS)
D. SQL Injection
9. Giao thức nào được sử dụng để mã hóa lưu lượng web, thường được nhận biết qua biểu tượng ổ khóa trên trình duyệt?
A. HTTP
B. FTP
C. SMTP
D. HTTPS
10. Trong bảo mật mật khẩu, `Salt` (muối) được sử dụng để làm gì?
A. Tăng độ dài mật khẩu
B. Mã hóa mật khẩu
C. Làm cho mật khẩu đã băm (hashed) khó bị giải mã hơn
D. Thay thế mật khẩu gốc
11. Phương pháp tấn công nào cho phép kẻ tấn công nghe lén hoặc can thiệp vào giao tiếp giữa hai bên mà không bị phát hiện?
A. Cross-Site Scripting (XSS)
B. Man-in-the-Middle (MITM)
C. Denial of Service (DoS)
D. Phishing
12. Nguyên tắc `Least Privilege` trong bảo mật an ninh mạng có nghĩa là gì?
A. Cấp quyền truy cập tối đa cho tất cả người dùng
B. Cấp quyền truy cập tối thiểu cần thiết để thực hiện công việc
C. Từ chối mọi quyền truy cập theo mặc định
D. Cấp quyền truy cập dựa trên vai trò
13. Loại tấn công nào lợi dụng lỗ hổng bảo mật trên website để chèn mã độc JavaScript và thực thi trên trình duyệt của người dùng?
A. SQL Injection
B. Cross-Site Scripting (XSS)
C. Denial of Service (DoS)
D. Buffer Overflow
14. Công cụ nào thường được sử dụng để quét lỗ hổng bảo mật trên hệ thống hoặc ứng dụng mạng?
A. Wireshark
B. Nmap
C. Metasploit
D. Snort
15. Biện pháp nào giúp bảo vệ dữ liệu quan trọng khỏi bị mất mát do sự cố phần cứng, phần mềm hoặc thiên tai?
A. Mã hóa dữ liệu
B. Sao lưu dữ liệu (Backup)
C. Kiểm soát truy cập
D. Giám sát an ninh
16. Loại mã độc nào ngụy trang dưới dạng phần mềm hữu ích hoặc tập tin thông thường để lừa người dùng cài đặt?
A. Virus
B. Worm
C. Trojan
D. Ransomware
17. Chính sách mật khẩu mạnh thường bao gồm các yêu cầu nào?
A. Chỉ sử dụng chữ cái và số
B. Sử dụng mật khẩu giống nhau cho nhiều tài khoản
C. Độ dài tối thiểu, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt
D. Sử dụng thông tin cá nhân dễ đoán
18. Hình thức tấn công nào sử dụng nhiều máy tính bị nhiễm mã độc (botnet) để đồng loạt tấn công một mục tiêu duy nhất?
A. Tấn công Man-in-the-Middle (MITM)
B. Tấn công DDoS (Distributed Denial of Service)
C. Tấn công SQL Injection
D. Tấn công Phishing
19. Trong lĩnh vực an ninh mạng, `Social Engineering` (Kỹ nghệ xã hội) là gì?
A. Kỹ thuật tấn công vào cơ sở hạ tầng mạng
B. Kỹ thuật khai thác lỗ hổng phần mềm
C. Kỹ thuật thao túng tâm lý con người để lấy cắp thông tin
D. Kỹ thuật mã hóa dữ liệu
20. Phương pháp nào giúp ngăn chặn việc giả mạo địa chỉ IP nguồn trong tấn công mạng?
A. Mã hóa dữ liệu
B. Lọc gói tin (Packet filtering)
C. Xác thực đa yếu tố
D. Sao lưu dữ liệu
21. Loại hình tấn công nào mà kẻ tấn công cố gắng đoán mật khẩu bằng cách thử hàng loạt các tổ hợp mật khẩu khác nhau?
A. Tấn công từ điển (Dictionary attack)
B. Tấn công Brute-force
C. Tấn công Rainbow Table
D. Tấn công Social Engineering
22. Trong ngữ cảnh an ninh web, CORS (Cross-Origin Resource Sharing) dùng để làm gì?
A. Ngăn chặn tấn công SQL Injection
B. Quản lý phiên làm việc người dùng
C. Kiểm soát tài nguyên được chia sẻ giữa các nguồn gốc khác nhau (domain)
D. Mã hóa dữ liệu truyền tải
23. Quy trình `Penetration Testing` (Kiểm thử xâm nhập) nhằm mục đích gì?
A. Phát triển phần mềm bảo mật
B. Đánh giá và kiểm tra tính bảo mật của hệ thống bằng cách mô phỏng tấn công thực tế
C. Xây dựng tường lửa (firewall)
D. Triển khai hệ thống giám sát an ninh
24. Loại tấn công nào lợi dụng việc tràn bộ đệm để ghi đè lên các vùng nhớ khác và thực thi mã độc?
A. SQL Injection
B. Cross-Site Scripting (XSS)
C. Buffer Overflow
D. Denial of Service (DoS)
25. Hệ thống IDS (Intrusion Detection System) hoạt động như thế nào?
A. Ngăn chặn các cuộc tấn công mạng
B. Phát hiện các hoạt động xâm nhập hoặc bất thường trong mạng
C. Mã hóa dữ liệu truyền tải
D. Kiểm soát truy cập mạng
26. Trong quản lý rủi ro an ninh mạng, `Risk Assessment` (Đánh giá rủi ro) là bước nào trong quy trình?
A. Triển khai biện pháp bảo mật
B. Xác định, phân tích và đánh giá các rủi ro tiềm ẩn
C. Khắc phục sự cố an ninh
D. Giám sát an ninh liên tục
27. Chứng chỉ số (Digital Certificate) được sử dụng để làm gì trong bảo mật web?
A. Mã hóa dữ liệu
B. Xác thực danh tính của website và máy chủ
C. Ngăn chặn tấn công DDoS
D. Kiểm soát truy cập người dùng
28. Phương pháp tấn công nào sử dụng các kỹ thuật như dụ dỗ, đe dọa để ép buộc nhân viên nội bộ tiết lộ thông tin bí mật?
A. Phishing
B. Baiting
C. Pretexting
D. Social Engineering
29. Trong bảo mật không dây (Wireless Security), WPA3 là phiên bản cải tiến so với WPA2 về mặt nào?
A. Tốc độ truyền dữ liệu
B. Phạm vi phủ sóng
C. Mã hóa và xác thực mạnh mẽ hơn
D. Khả năng tương thích ngược với các thiết bị cũ
30. Công nghệ SIEM (Security Information and Event Management) giúp tổ chức làm gì?
A. Ngăn chặn tất cả các cuộc tấn công mạng
B. Thu thập, phân tích và phản ứng với các sự kiện an ninh từ nhiều nguồn khác nhau
C. Mã hóa toàn bộ dữ liệu của tổ chức
D. Tự động vá lỗi bảo mật cho hệ thống
