軟件安全設(shè)計與開發(fā)測試題

軟件安全設(shè)計與開發(fā)測試題一、單選題1.對稱密鑰加密比非對稱密鑰加密（）。A速度慢B速度相同C速度快(正確答案)D通常較慢2.下面關(guān)于驗證碼的使用錯誤的是（）。A必須使用帶干擾的驗證碼B使用多張圖片的驗證碼，可以增加破解的難度(正確答案)C用戶信息與驗證碼驗證必須在同一個請求提交給服務(wù)器D驗證碼驗證錯誤后應(yīng)更新驗證碼3.關(guān)于XSS的說法錯誤的是（）。A全稱為跨站腳本攻擊B通過HTML注入篡改網(wǎng)頁，插入惡意腳本，控制用戶瀏覽器的一種攻擊行為C分為反射型XSS和存儲型XSSD是一種基于服務(wù)器端的攻擊腳本(正確答案)4.網(wǎng)站的安全協(xié)議是https時，該網(wǎng)站瀏覽時會進行（）處理。A增加訪問標記B加密(正確答案)C身份驗證D口令驗證5.防范XSS攻擊的措施是（）。A應(yīng)盡量手工輸入URL地址(正確答案)B網(wǎng)站管理員應(yīng)注重過濾特殊字符，限制輸入長度，在代碼層面上杜絕XSS漏洞出現(xiàn)的可能性C不要隨意點擊別人留在論壇留言板里的鏈接D不要打開來歷不明的郵件、郵件附件、帖子等6.攻擊者通過端口掃描，可以直接獲得（）。A目標主機的口令B給目標主機種植木馬C目標主機使用了什么配置的主機D目標主機開放了哪些端口服務(wù)(正確答案)7.下列不屬于Web應(yīng)用帶來的風險的是（）。ASQL注入BXSS攻擊C上傳漏洞DDOS攻擊(正確答案)8.下列不屬于OWASPtop10的是（）。A注入B不安全的直接對象引用C內(nèi)存溢出(正確答案)D敏感信息泄露9.下列不屬于安全設(shè)計原則的是（）。A最小特權(quán)B保護隱私C不要相信外部輸入D默認信任(正確答案)10.應(yīng)用開發(fā)過程中的安全不包括（）。A安全培訓(xùn)B收集安全需求C源代碼審查D安全發(fā)布(正確答案)11.下列哪個不是瀏覽器的安全特性（）。A同源策略B瀏覽器沙箱C惡意網(wǎng)址攔截DCookie(正確答案)12.下列關(guān)于XSS說法錯誤的是（）。A全稱為跨站腳本攻擊B通過服務(wù)端注入(正確答案)C包括反射型XSS和存儲型XSSD它是在用戶端控制用戶瀏覽器的一種攻擊13.下列關(guān)于Cookie原理說法錯誤的是（）。A瀏覽器第一次向服務(wù)器發(fā)起請求，這時候沒有cookieB服務(wù)器返回時發(fā)送Set-Cookie頭，向客戶端瀏覽器寫入CookieC在該Cookie到期前，瀏覽器訪問該域下所有頁面，都將發(fā)送該CookieD瀏覽器在登錄后才產(chǎn)生對應(yīng)的Cookie(正確答案)14.下列哪個不屬于XSS的防御手段（）。A設(shè)置HttpOnlyB輸入檢查C輸出檢查D禁用瀏覽器的cookie功能(正確答案)15.關(guān)于CSRF，錯誤的是（）。A全稱為跨站點請求偽造B可以讓攻擊者盜用你的身份并發(fā)送惡意請求C必須得依賴XSS漏洞才能實現(xiàn)攻擊(正確答案)D它是通過隱式認證來實現(xiàn)攻擊的16.關(guān)于CSRF的防范措施，錯誤的是（）。A驗證碼BCSRFTokenCReferCheckD保持瀏覽器及時更新并打補丁(正確答案)17.關(guān)于CSRF與XSS，錯誤的是（）。AXSS攻擊包含了HTML和客戶端腳本語言BXSS需要借助腳本語言CCSRF需要借助腳本語言(正確答案)DXSS產(chǎn)生的原因主要是沒有對輸入進行過濾18.下面哪個不是屬于釣魚攻擊的技術(shù)方法（）。A發(fā)送電子郵件B建立假冒網(wǎng)站C利用用戶弱口令D上傳非法的文件(正確答案)19.下面關(guān)于SQL注入錯誤的是（）。A用戶在輸入中混入操作系統(tǒng)命令(正確答案)B必須依賴SQL語句的動態(tài)構(gòu)造C為了獲取攻擊者想要的信息D它一定依賴于數(shù)據(jù)庫20.下面關(guān)于SQL注入防御說法錯誤的是（）。A服務(wù)端對所有輸入數(shù)據(jù)驗證有效性B使用黑名單驗證不允許輸入的字符(正確答案)C不要動態(tài)組裝SQL語句D對于需要產(chǎn)生命令運行的數(shù)據(jù)，保持盡量少的數(shù)據(jù)由外部輸入21.下列哪項屬于認證錯誤后正確的反饋（）。A登錄失敗，用戶XXX的密碼錯誤B登錄失敗，無效的用戶名C登錄失敗，該用戶已被禁用D登錄失敗，用戶名或密碼錯誤(正確答案)22.關(guān)于web應(yīng)用服務(wù)器的配置錯誤的是（）。A確保已經(jīng)安裝了最新的安全補丁B只啟動應(yīng)用程序需要的服務(wù)模塊C隱藏應(yīng)用服務(wù)器的版本號D打包后所有文件都應(yīng)該能被應(yīng)用服務(wù)器直接訪問(正確答案)23.下列關(guān)于密碼的存儲安全的是（）。A明文存儲B密碼經(jīng)過對稱轉(zhuǎn)換后存儲C對稱加密之后存儲D將密碼原文和隨機生成的Salt字符串混淆進行哈希(正確答案)24.下列關(guān)于服務(wù)器的安全部署錯誤的是（）。AWeb服務(wù)器應(yīng)置于隔離區(qū)BWeb應(yīng)用的根目錄必須部署在系統(tǒng)目錄中(正確答案)CWeb服務(wù)器與應(yīng)用服務(wù)器實