安全测试考试题目(全)

软件安全测试教育试卷部门：名称：一、单一主题(30分，每个问题2分)1、信息安全系统安全级别分为(c)。a、级别3 b、级别4 c、级别5 d、级别62、从信息安全发展的角度来看，目前主要保障什么样的安全？(d)。a、电信b、计算机c、人员d、信息和信息系统资产3、防火墙的原则是什么(b)。a，防止攻击的能力b，一切都不允许的是禁止的！c，任何未被禁止的东西都可以！d，是否漏电4、IDS和IPS的部署模式为(d)。a，多旁路模式b，多在线模式c、IDS联机模式、IPS旁路模式d、IDS旁路模式、IPS联机模式5，什么是VPN？(d)。a、安全设备b、防病毒软件c、安全测试软件d，虚拟专用网6、以下哪项不是常见的安全设计问题(a):a，数据库表太多b，密码技术使用的失败c，创建自己的密码技术d，错误的处理个人信息7、以下哪项不在VPN分类中(a):a、主机到远程用户b、主机到VPN网关c，VPN网关到VPN网关d，远程用户到VPN网关8、动态测试方法不包括(d)。a，手动分析技术b，安全扫描c，渗透测试d，用户测试9、最新的web系统版本是(d)。a、Web7.0 B、Weblogic8.0 C、Websphere3.0 D、Web3.010、渗透测试模拟哪些作用(a)。a、模拟黑客b、模拟用户c、模拟系统管理员d、模拟开发11、信息系统安全问题的外部原因是什么(b)。a、复杂的过程b、对方的威胁和破坏c，复杂结构d，复杂使用12、对测试思想的变化，准确说明(a)。a，系统不允许的所有事件都寻找允许的方法。b、系统允许的所有事件都寻找不允许的方法。c，根据自定义内容进行测试。d，根据开发人员指定的内容进行测试。13、以下是不属于安全测试的辅助工具(d):a、wireshark B、APPSCAN C、Zenmap D、QTP14、以下哪项不属于web系统文件上载功能安全性(d):a、未限制的扩展名b、未检查的文件内容c，病毒文件d，不检查文件大小15、以下哪一项是正确的(b):a，关系数据库不需要安全测试。b、通过软件安全测试降低安全风险。c、软件安全测试可以消除安全风险。d，应用程序系统只需要一个测试工具测试。第二，多主题(30点，每个主题3点，少2点，多选择无点)1、属于软件安全产品的下一张是(CD)。a、交换机b、路由器c、防火墙d、IDS/IPS2、主机IDS监视资源主要包括(ABCD)。a、网络b、文件c、进程d、系统日志3、软件安全开发周期的正确说明是(AD)。a，软件安全生命周期包含在软件生命周期中。b，软件生命周期经历了软件安全生命周期的每个阶段。c，软件生命周期包含在软件安全生命周期中。d，软件安全生命周期经历了软件生命周期的每个阶段。4、测试实施阶段的任务是(ABC)。a，白盒测试b，黑盒测试c，灰盒测试d，蓝盒测试5、安全测试7包括接触点(ABCD)。a、代码审核b、滥用案例c、安全操作d、渗透测试6、根据渗透对象分类，渗透测试包括(ABCD)。a、主机操作系统渗透b、数据库系统渗透c、应用系统渗透d、网络设备渗透7、以下哪项是交点脚本的攻击形式(ABCD)？a，cookie b，偷钓鱼c、受害者的浏览器操作d、蠕虫攻击8、web系统动态安全测试手段有(ABC)。a、手动检查/配置检查b、渗透测试c，安全扫描d，用户测试9、web应用程序系统的10个漏洞是(ABCD)。a、反射跨站点b、存储跨站点c、DOM跨站点d、跨站点脚本10、软件安全开发周期包括(ABC)。a、安全要求攻击案例b、体系结构和设计审查/威胁建模c、安全编码原则d、软件版本更新三、填写空白问题(30分，每空3分)1、信息系统安全包括五个部分：物理安全、网络安全、系统安全、应用程序安全、安全管理。2、信息系统安全级别中的第一位是用户自主保护。3、等级保护评估工具包括管理评估、技术评估。4、防火墙类型包括数据包过滤防火墙、应用网关(应用程序代理)防火墙和状态检测数据包过滤防火墙。5、IDS中文名字是入侵检测系统。6、软件安全测试应该像攻击者一样思考。7、隔离门由外部系统、内部系统和数据交换系统(交换机系统)组成。8、渗透测试：黑盒测试、白盒测试、秘密测试。9、安全测试方法包括静态测试和动态测试。10、软件中