《应用安全开发规范培训在线考试.docx》由会员分享,可在线阅读,更多相关《应用安全开发规范培训在线考试.docx(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、应用安全开发规范培训在线考试(100分)1、姓名 【填空题】_2、输入输出可能产生安全风险,包括常见的反射型跨站脚本攻击漏洞、存储型跨站脚本攻击漏洞、数据库命令注入、XML注入、系统命令注入等漏洞 【单选题】(5分)A.是B.否正确答案: A3、所有用户输入、修改的数据,所有与客户端交互的的数据,仅包括GET请求数据、POST请求数据、Referer主机头、Cookie数据 【单选题】(5分)A.是B.否正确答案: B4、必须在服务端执行所有的数据处理及校验,不可以单独使用JavaScript在客户端处理及校验 【单选题】(5分)A.是B.否正确答案: A5、不用在服务端执行所有的编码输出操作
2、 【单选题】(5分)A.是B.否正确答案: B6、必须保证会话创建服务器自身的运行环境安全。并且须保证会话ID有足够随机性,以防止被暴力猜解或逆向 【单选题】(5分)A.是B.否正确答案: A7、禁止使用GET方法传递敏感参数(会话标识、身份证号等),因为GET方法会将数据显示在URL中,传输过程所有的代理及缓存服务器都可以直接获取用户数据 【单选题】(5分)A.是B.否正确答案: A8、重要系统在每个请求或每个会话中使用token随机参数 【单选题】(5分)A.是B.否正确答案: A答案解析: 9、攻击者可能根据认证失败的结果,暴力破解用户名和密码。较弱的图形验证码能够被某些图像识别技术读取
3、出其中的验证码字符,进而绕过图形验证码的校验功能。邮箱、手机认证也是常见的认证方式。以上对象都需要有合理安全的管理方法 【单选题】(5分)A.是B.否正确答案: A10、业务日志主要是为了记录用户的业务操作行为,保证业务操作的可追溯性和抗抵赖性,这通常也是所有行业监管机构的强制要求 【单选题】(5分)A.是B.否正确答案: B11、包含所有在网络中传输的所有应用数据,敏感数据应当进行双重加密 【单选题】(5分)A.是B.否正确答案: A12、应用安全开发规范文档的预期读者包括 【多选题】(5分)A.设计人员B.开发人员D.测试人员D.全部人员正确答案: ABD13、外部数据来源分为以下几类 【
4、多选题】(5分)A.来自客户的数据提交B.来自其它应用系统接口的数据提交C.来自应用软件内部产生的数据提交D.引用数据进行输出正确答案: ABC14、输出数据来源分为以下几类(BCD ) 【多选题】(5分)A.来自客户的数据提交B.用户输入的数据进行中转输出。C.数据库数据进行输出。D.引用数据进行输出。正确答案: BCD15、身份认证安全风险主要包括用户密码暴力破解、验证码无效、验证绕过、验证码回显、图形验证码过弱、无密码策略等等。可造成的风险不限于( )等等安全风险。属于非常重要的功能模块。 【多选题】(5分)A.撞库攻击B.暴力破解C.用户名枚举D.任意用户登陆正确答案: ABCD16、
5、会话管理风险主要包括( )等等。可造成的风险包括但不限于用户敏感信息被盗、异常的转账或修改信息等。对用户危害相对较大 【多选题】(5分)A.会话ID可预测B.会话注销异常C.跨站请求伪造(CSRF)D.cookie包含敏感信息E.点击劫持F.cookie被JS读取正确答案: ABCDEF17、输入输出可能产生安全风险,包括常见的反射型跨站脚本攻击漏洞、存储型跨站脚本攻击漏洞、数据库命令注入、XML注入、系统命令注入等漏洞。对系统造成的安全风险极大,包括但不限于获取用户权限、数据库内容和( )等等。 【填空题】(5分)_正确答案: 主机权限(回答与答案完全相同才得分)18、所有用户输入、修改的数
6、据,所有与客户端交互的的数据,包括但不限于GET请求数据、POST请求数据、Referer主机头和( )等。 【填空题】(5分)_正确答案: Cookie数据;cookie数据(回答与答案完全相同才得分)19、白名单的使用场景包括()和()。 【多项填空】填空1_(2.5分)正确答案: 服务端;客户端(回答与答案完全相同才得分)填空2_(2.5分)正确答案: 服务端;客户端(回答与答案完全相同才得分)20、会话保持的方法分为两大类,分别是( )和( ) 【多项填空】填空1_(2.5分)正确答案: Cookie;Session;cookie;session(回答与答案完全相同才得分)填空2_(2.5分)正确答案: Cookie;Session;cookie;session(回答与答案完全相同才得分)21、身份认证安全风险主要包括用户密码暴力破解、验证码无效、验证绕过、验证码回显、图形验证码过弱、无密码策略等等。可造成的风险不限于撞库攻击、暴力破解、用户名枚举、任意用户登陆等等安全风险。属于非常重要的( ) 【填空题】(5分)_正确答案: 功能模块(回答与答案完全相同才得分)