2021年網(wǎng)絡(luò)與信息安全考試安全開發(fā)體系培訓(xùn)

2021年網(wǎng)絡(luò)與信息安全考試安全開發(fā)體系培訓(xùn)姓名：[填空題]*_________________________________各種類型的輸入都有可能是非法的,甚至是惡意的,所以針對所有類型的輸入,應(yīng)用都要進(jìn)行檢驗(yàn),確保輸入的數(shù)據(jù)是符合程序要求的,合理的,合法的數(shù)據(jù)。非法輸入可能造成的危害有（）[單選題]*A．輸入的數(shù)據(jù)大于接收緩沖,會造成緩沖溢出B．格式化字符串注入,對這些字符串進(jìn)行處理時,如果不小心會造成程序的崩潰,或某些敏感數(shù)據(jù)被篡改C．代碼注入,輸入的URL或命令中帶有腳本、代碼等惡意片段D．以上都是(正確答案)哪一項(xiàng)不容易造成敏感數(shù)據(jù)泄露？（）[單選題]*A．使用了過時/薄弱的加密算法B．生成了薄弱的加密密鑰，缺少正確的密鑰管理或輪換C．向?yàn)g覽器發(fā)送敏感數(shù)據(jù)時，已驗(yàn)證瀏覽器安全性指令或標(biāo)頭(正確答案)D．錯誤處理向用戶泄露了過多的錯誤消息A能增刪改查B的私人信息，這屬于什么漏洞（）[單選題]*A．注入漏洞B．XSS漏洞C．越權(quán)(正確答案)D．cookie泄露哪項(xiàng)關(guān)于實(shí)現(xiàn)安全的身份驗(yàn)證會話管理是錯誤的？（）[單選題]*A.采用OWASP的應(yīng)用程序安全驗(yàn)證標(biāo)準(zhǔn)(ASVS)中定義的身份驗(yàn)證和會話管理要求B.根據(jù)實(shí)踐經(jīng)驗(yàn)，編寫自定義的會話管理方法(正確答案)C.使用ESAPI保護(hù)身份驗(yàn)證程序D.使用專門加密算法來存儲密碼，如bcrypt、PBKDF2或scrypt使用spring、fastjson、dubbo等開源框架時，應(yīng)注意的事項(xiàng)描述最準(zhǔn)確的是（）[單選題]*A.一定要保證為最新版本或當(dāng)前版本沒有漏洞B.業(yè)務(wù)中自行開發(fā)的涉及到序列化與反序列化時在ObjectInputStream中resolveClass里只是進(jìn)行了class是否能被load，自定義ObjectInputStream,重載resolveClass的方法C.對className進(jìn)行白名單校驗(yàn)D.以上都正確(正確答案)訪問控制是軟件安全開發(fā)關(guān)注重點(diǎn)之一，以下哪種方式不利于訪問控制（）[單選題]*A、對登陸的用戶分配賬戶和權(quán)限B、重命名默認(rèn)賬戶和密碼C、應(yīng)遵循授予用戶最小權(quán)限原則授權(quán)D、為方便大家使用，建立一個共享賬號(正確答案)數(shù)據(jù)的保密性是關(guān)系到整個數(shù)據(jù)生命周期，以下對數(shù)據(jù)保密性描述錯誤的是（）[單選題]*A、應(yīng)采用密碼技術(shù)，保證數(shù)據(jù)傳輸過程的保密性B、應(yīng)采用密碼技術(shù)，保證存儲過程的保密性C、可以存儲授權(quán)后的敏感的驗(yàn)證數(shù)據(jù)，例如銀行卡密碼(正確答案)D、顯示敏感數(shù)據(jù)時，需要脫敏或遮蓋以下案例涉及了下面哪種安全問題?（）

“用戶A使用公共計(jì)算機(jī)訪問個人網(wǎng)站，離開時用戶沒有點(diǎn)擊退出，而是直接關(guān)閉瀏覽器。攻擊者在一段時間后能使用該瀏覽器扔可以訪問網(wǎng)站內(nèi)A的內(nèi)容”

[單選題]*A、使用不安全的第三方組件B、失效的身份認(rèn)證和會話管理(正確答案)C、SQL注入D、缺失訪問控制功能安全軟件的核心屬性有（）[單選題]*A、保密性、完整性、可用性、可追溯性、抗抵賴性(正確答案)B、保密性、完整性、可用性、可預(yù)測性、正確性C、保密性、完整性、可用性、可依賴性、可靠性D、保密性、完整性、可用性、復(fù)雜性、可追蹤性以下不符合移動應(yīng)用軟件的安全性的是（）[單選題]*A、移動應(yīng)用軟件身份認(rèn)證數(shù)據(jù)可長期保存(正確答案)B、移動應(yīng)用軟件之間的重要數(shù)據(jù)不能被互操作C、移動應(yīng)用軟件數(shù)據(jù)文件所在的存儲空間，被釋放或重新分配前可得到完全清除D、移動應(yīng)用軟件應(yīng)對通信過程中的敏感信息字段或整個報文進(jìn)行密碼加密，避免敏感數(shù)據(jù)泄露風(fēng)險以下哪項(xiàng)活動對安全編碼沒有幫助（）[單選題]*A、代碼審計(jì)B、安全編碼規(guī)范C、安全編碼培訓(xùn)D、代碼版本管理(正確答案)人為的安全威脅包括主動攻擊和被動攻擊，以下屬于被動攻擊的是（）[單選題]*A、流量分析(正確答案)B、后門C、拒絕服務(wù)攻擊D、特洛伊木馬甲不但懷疑乙發(fā)給他的信遭人篡改，而且懷疑乙的公鑰也是被人冒充的，為了消除甲的疑慮，甲和乙需要找一個雙方都信任的第三方來簽發(fā)數(shù)字證書，這個第三方是（）[單選題]*A、注冊中心RAB、國家信息安全測評認(rèn)證中心C、認(rèn)證中心CA(正確答案)D、國際電信聯(lián)盟ITU根據(jù)密碼分析者可利用的數(shù)據(jù)資源來分類，可將密碼攻擊的類型分為四類，其中密碼分析者能夠選擇密文并獲得相應(yīng)明文的攻擊密碼的類型屬于（）[單選題]*A、僅知密文攻擊B、選擇密文攻擊(正確答案)C、已知密文攻擊D、選擇明文攻擊下面哪個不是owasptop10常見漏洞（）[單選題]*A、SQL注入B、反射型XSSC、流資源未正常關(guān)閉(正確答案)D、struts2遠(yuǎn)程執(zhí)行漏洞下面哪種參數(shù)傳入方式能防止SQL注入的產(chǎn)生（）[單選題]*A、<selectid="selectUserbyName"resultMap="BaseResultMap">select*fromuserwhereuser_name=${user_name}</select>B、Stringsql="select*fromssm_bookwheretitle="+title;stmt=conn.createStatement()res=stmt.executeQuery(sql)C、Queryquery=session.createQuery("fromSSMUserwhereuserName="+user_name);List<SSMUser>list=query.list();D、<selectid="selectUserbyName"resultMap="BaseResultMap">select*fromuserwhereuser_name=#{user_name}</select>(正確答案)Java反序列化是指把字節(jié)序列恢復(fù)為Java對象的過程，ObjectInputStream類的readObject()方法用于反序列化，以下是反序列化漏洞后果描述最準(zhǔn)確的是（）[單選題]*A、暴露或間接暴露反序列化API。B、導(dǎo)致用戶可以操作傳入數(shù)據(jù)。C、攻擊者可以精心構(gòu)造反序列化對象并執(zhí)行惡意代碼。(正確答案)D、以上都是。18、驗(yàn)證碼模塊存在缺陷，可能被攻擊者繞過，繼而進(jìn)行暴力破解攻擊，有效緩解驗(yàn)證碼功能缺陷的措施描述最準(zhǔn)確的是（）。[單選題]*A、在登錄界面加入健壯的驗(yàn)證碼校驗(yàn)機(jī)制。B、將生成的驗(yàn)證碼與用戶會話session信息進(jìn)行一一對應(yīng)。C、校驗(yàn)用戶提交的驗(yàn)證碼不能為空，且應(yīng)與服務(wù)器上存儲的是否一致D、以上都對。(正確答案)對cookie設(shè)置描述中，錯誤的是。（）[單選題]*A、設(shè)置cookie的http-only和secure兩個屬性。B、設(shè)置認(rèn)證cookie中，加入時間限制，“即使一直在活動，也要失效”。C、設(shè)置認(rèn)證cookie中長時間不活動的失效時間。D、應(yīng)像Session一樣，時間自由開放，不作限制。(正確答案)20、盡量不要使用服務(wù)器端請求的方式獲取相關(guān)內(nèi)容，如無法避免，服務(wù)器端對前端傳來的URL進(jìn)行請求時，需驗(yàn)證URL的________，根據(jù)白名單策略進(jìn)行過濾。()[單選題]*A、準(zhǔn)確性B、符合性C、可靠性D、目的性(正確答案)下面哪個是推薦使用的對稱密碼算法。()[單選題]*A、DESB、AES(正確答案)C、SHAD、RSA下列JDK中的API調(diào)用中若使用不當(dāng)易遭致OS命令注入的就是。()[單選題]*A、java.lang.System.load(）B、java.lang.Runtime.exec()(正確答案)C、java.lang.Thread.start(）D、java.lang.Process.waitFor(）23、推薦的防御SQL注入的最佳方式就是。()[單選題]*A、限制外部輸入的長度B、使用存儲過程C、使用預(yù)編譯語句--java、sql、PreparedStatement(正確答案)D、對外部輸入進(jìn)行轉(zhuǎn)義下列不符合編碼規(guī)范的是。()[單選題]*A、數(shù)據(jù)庫、IO操作等需要使用結(jié)束close()的對象必須在try-catch-finally的finally中close()B、數(shù)組聲明的時候使用int[]index，而不要使用intindex[]C、所有的類必須重載toString（)方法，返回該類有意義的內(nèi)容(正確答案)D、自己拋出的異常必須要填寫詳細(xì)的描述信息下列哪一種方法不屬于XSS常見的攻擊手法（）[單選題]*A、盜取cookieB、點(diǎn)擊劫持C、修改管理員密碼D、獲取數(shù)據(jù)庫(正確答案)軟件危機(jī)和軟件安全是近幾年互聯(lián)網(wǎng)興起后才出現(xiàn)的[判斷題]*對錯(正確答案)惡意程序、安全缺陷、安全漏洞等都是典型的軟件安全問題[判斷題]*對(正確答案)錯軟件安全開發(fā)體系落地只要有相關(guān)自動化工具就行，不需要額外的人員參與[判斷題]*對錯(正確答案)開源軟件、開源架構(gòu)的廣泛使用，是帶來軟件安全問題的主要原因之一[判斷題]*對(正確答案)錯軟件安全開發(fā)體系的建設(shè)只要一次性投入，即可持久受用[判斷題]*對錯(正確答案)無論什么風(fēng)險，都要杜絕掉，絕不可以不采取任何措施[判斷題]*對錯(正確答案)保障軟件開發(fā)安全做好安全測試和代碼審計(jì)就夠了[判斷題]*對錯(正確答案)使用漏洞庫匹配的方法進(jìn)行掃描，可以發(fā)現(xiàn)所有的漏洞[判斷題]*對錯(正確答案)在軟件安全開發(fā)過程中，所有活動都應(yīng)建立在安全需求之上[判斷題]*對(正確答案)錯安全開發(fā)體系方法的落地，可以從安全開發(fā)培訓(xùn)開始[判斷題]*對(正確答案)錯威脅建模是SDLC實(shí)施過程中安全設(shè)計(jì)階段的主要工作[判斷題]*對錯(正確答案)建立安全編碼規(guī)范是安全開發(fā)階段的重點(diǎn)工作[判斷題]*對錯(正確答案)Ansible是一款自動化代碼安全測試工具，能夠快速發(fā)現(xiàn)代碼安全問題[判斷題]*對錯(正確答案)應(yīng)急響應(yīng)是獨(dú)立與SDLC安全開發(fā)體系的安全過程[判斷題]*對錯(正確答案)數(shù)據(jù)加密是防止敏感數(shù)據(jù)泄露的重要方法之一[判斷題]*對(正確答案)錯拼接傳入的參數(shù)是導(dǎo)致SQL注入的唯一原因[判斷題]*對錯(正確答案)Sonar是一款自動化代碼審計(jì)工具，支持自定義代碼審計(jì)腳本[判斷題]*對(正確答案)錯SQL注入漏洞是典型的安全代碼漏洞，可以通過增加過濾器方式徹底的解決[判斷題]*對錯(正確答案)安全開發(fā)生命周期簡稱SDLC[判斷題]*對錯(正確答案)在軟件開發(fā)生命周期中，后面的階段