安全培训测评_问卷系统

在设计开发安全需求时，应考虑哪三项安全属性？

机密性、完整性、不可抵赖性

机密性、完整性、可用性

完整性、可用性、可追溯性

可追溯性、可用性、不可抵赖性

如何建立安全开发意识(多选)

只需要考虑功能实现，无需考虑安全

定制安全编码规范，提供安全编码意识

关注行业的相关标准文件，提供系统的合规性

引入安全开发生命周期管理

以下哪些属于安全编码准则(多选)

最小权限原则

输入验证和过滤

安全的数据存储

安全的身份验证与授权

SQL注入的本质描述最正确的一项是()

未对换行字符进行过滤

未对尖括号进行过滤

数据库版本太低

用户的输入直接进行拼接变成代码的一部分执行，违反数据与代码分离原则

以下不会产生SQL注入的选项是()

SELECT * FROM users WHERE user id =#{userld}

SELECT * FROM users WHERE user id =$fuserld)

String sql = "SELECT * FROM users WHERE user_id = '" + request.getParameter("loginName") + "'";

以上都会产生SQL注入

以下是登录请求所涉及的SQL语句，请选择在不知道密码的情况下如何进行万能密码绕过:()

select * from USERS where USER_NAME='admin' and PASSWORD='12334'

admin' or '1'='1

admin” or “1”=”1”

admin’) or (“)=('

admin or 1=1

推荐的防御 SQL注入的最佳方式是

限制外部输入的长度

使用存储过程

使用预编译语句--java.sql.PreparedStatement

对外部输入进行转义

防御CSRF漏洞的方案是

对特殊字符进行过滤

全局使用token，并进行token校验

进行输出转义

进行参数绑定

Runtime.getRuntime().exec(

request.getParameter("cmd"))这里会存在什么威胁

缓冲区溢出

XXE

信息泄露

命令注入

攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行，这是哪种类型的漏洞()

缓冲区溢出

SQL注入

设计错误

跨站脚本

对输入字符进行过滤防止XSS的一种解决办法，那么一级过滤至少要过滤哪些字符()

& < > ( ) ;

< >' " \;

< > ' ( )

" ' + / ( )

这段代码存在的安全问题，会产生什么安全漏洞？

Susername=$_GET(username);

echo $username;

文件解析漏洞

SQL 注入漏洞

文件包含漏洞

反射 XSS 漏洞

以下代码存在什么漏洞()

PrintWriter pw = new PrintWriter(new BufferedWriter

(new FileWriter(request.getRealPath("/")

+getFllename(request))));

ServletInputStream in = request.getInputStream();

int i = in.read();

while (i!= -1){

pw.print((char) i);

i= in.read();

}

pw.close();

任意文件下载

文件包含

命令注入

文件上传漏洞

针对文件上传漏洞，对截断字符进行过滤，是为了

防止注入攻击

防止绕过对文件扩展名的校验

防止DDOS攻击

防止绕过对上传路径的限制

造成攻击者可以通过访问正常文件时的链接，查看服务器敏感文件信息，属于下列哪个问题导致的

sql注入

xxs 攻击

路径操作

测试程序残留

下面关于文件上传漏洞防御描述不正确的是

在客户端或服务端选择其一做文件扩展名白名单校验，即可防御文件上传漏洞

对文件进行完全随机重命名，不将用户可控参数作为重命名的组成部分，是防御上传漏洞的一个重要方法

上传文件的目录必须是http请求无法直接访问到的。如果需要访问的，必须上传到其他(和web服务器不同的)域名下，并设置该目录为不解析jsp等脚本语言的目录。

文件上传漏洞，需要多方位的考虑，包括扩展名、重命名、上传目录权限设置等等，防止防御方案被绕过

以下代码存在什么漏洞()

String path = request.getParameter("path");

java.io.QutputStream os = response.getOutputStream();

java.io.FilelnputStream fis = new java.io.FilelnputStream(path);

bytell b = new byte[1024];

int i = 0;

while((i= fis.read(b))>0 ){

os.write(b,0, i);

}

fis.close();

os.flush();

os.close();

任意文件下载

文件包含

命令注入

文件上传漏洞

通信保密性，可以从以下哪两方面来进行保障(多选)

对信道进行加密

对报文进行加密

使用双重URL编码进行加密

get提交账号密码，密码使用base64编码

如下配置会引起什么漏洞:()

tomcat:/conf/web.xml

<init-param>

<param-name>listings</param-name>

<param-value>true</param-value>

</init-param>

启用了不安全的方法

Host head attack

目录遍历

DWR接口泄露

下面对Java反序列化的描述正确的是

Java反序列化时，目标class与预期class不一致时，会导致类型转换错误，所以即使反序列化不可信数据也不会有安全风险

Java的反序列化操作，可以绕过对象构造函数的执行

对象序列化后，即使包含敏感数据也不会产生风险

jdk提供的序列化操作，会将Java对象序列化二进制流，可以有效防止信息泄露或恶意篡改

下面哪个代码是不安全的

Statement stmt= con.createStatement;

stmt.executeUpdate

("select * from Users where name=" + name);

String sql=”select * from product where id=";

Integer.parseInt(request.

getParameter(“id”))

以下关于目录遍历漏洞，描述正确的是

攻击者可以利用此漏洞映射Web站点从而更深入的了解目标站点结构信息或者获取目录下的敏感文件

攻击者可以利用该漏洞进行脱库

攻击者可以利用该漏洞进行拒绝服务攻击

攻击者可以利用该漏洞执行系统命令

以下哪些属于常见的安全问题(多选)

sql注入

CSS

文件上传

水平越权

下列API使用不当容易导致命令注入的是

java.lang.System.load

java.lang.Runtime.exec

java.lang.Thread.start

java.lang.Process.waitFor

在浏览器地址栏中尝试，在资源路径URL后面添加../etc/passwd 并逐渐增加../ ，是在进行什么漏洞的测试

目录遍历漏洞

SQL注入

XSS

会话管理漏洞

关于反序列化漏洞，正确的有(多选)

反序列化前对外部数据做完整性校验，确保来源可控

使用第三方提供的库，对className进行白名单、黑名单校验

在创建对象之前强制执行严格的类型约束

禁止使用反序列化

安全编程规范中，下面说法错误的是

对外部输入进行校验

禁止不受信任的代码直接终止JVM

创建文件时指定合理的访问权限

记录日志时可以抛异常

以下说法正确的有(多选)

一个系统或者模块应该统一规划异常类型和返回码的含义

异常的处理效率比条件分支低

异常的跳转流程难以预测

系统非正常运行产生的异常捕获后，如果不对该异常进行处理，则应该记录日志

下面哪种编码方可能会造成安全问题(多选)

使用反射来增加类的可访问性

使用==或者!=比较两个基础数据类型的值

使用安全管理器保护敏感操作

可以基于不可信数据进行安全检查

以下哪两个选项与短信凭证泄露有关(多选)

凭证生成、发送、以及校验流程存在缺陷，导致在请求或响应报文中泄露凭证信息

凭证不是完全随机生成，具有可预测性，如基于时间或者使用按照规律递增

凭证未使用强加密算法进行加密传输

未实施凭证异步防绕过机制

客户端的校验，均可以被绕过，包括(多选)

HTML表单置输入确认机制

禁用的元素

脚本的确认

长度限制

Slow HTTP Denial of Service Attack，可造成拒绝服务攻击，以TOMCAT为例，以下哪个选项配置是正确的()

connectionTimeout="7000"

connectionTimeout="9000"

connectionTimeout="7000"

connectionTimeout="12000"

在web应用中，有些是属于错误配置引起的，以下配置不正确的是()

crossdomain.xml的配置:

<cross-domain-policy><allow-access-from domain="*"/> </cross-domain-policy>

teas-web.xml配置文件:

<isDefaultDirectoryDisplayed>false</isDefaultDirectoryDisplayed>

将struts.xml文件做如下配置:

Tomcat如下配置:

网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，完成网络数据的安全交换，下列隔离技术中，安全性最好的是

多重安全网关

防火墙

VLAN 隔离

物理隔离

安全运维的目标有哪些？(多选)

高效管理

安全保护

应急响应

隐患发现

以下哪项是操作系统加固的一个关键步骤?

增加不必要的用户账户

禁用或删除不必要的服务

允许所有用户访问敏感数据

禁用系统日志记录功能

对于应用程序加固，以下哪项措施是不必要的

代码审核

配置错误处理机制

允许用户上传任意文件

使用安全编码实践

我们可以从以下哪几个方面来加固中间件(多选)

禁止使用默认密码，设置强密码

移除中间件控制台

移除docs、examples、首页等与应用正常运行无关的界面

升级中间件版本补丁