2021年网络与信息安全考试安全开发体系培训

2021年网络与信息安全考试安全开发体系培训姓名：[填空题]*_________________________________各种类型的输入都有可能是非法的,甚至是恶意的,所以针对所有类型的输入,应用都要进行检验,确保输入的数据是符合程序要求的,合理的,合法的数据。非法输入可能造成的危害有（）[单选题]*A．输入的数据大于接收缓冲,会造成缓冲溢出B．格式化字符串注入,对这些字符串进行处理时,如果不小心会造成程序的崩溃,或某些敏感数据被篡改C．代码注入,输入的URL或命令中带有脚本、代码等恶意片段D．以上都是(正确答案)哪一项不容易造成敏感数据泄露？（）[单选题]*A．使用了过时/薄弱的加密算法B．生成了薄弱的加密密钥，缺少正确的密钥管理或轮换C．向浏览器发送敏感数据时，已验证浏览器安全性指令或标头(正确答案)D．错误处理向用户泄露了过多的错误消息A能增删改查B的私人信息，这属于什么漏洞（）[单选题]*A．注入漏洞B．XSS漏洞C．越权(正确答案)D．cookie泄露哪项关于实现安全的身份验证会话管理是错误的？（）[单选题]*A.采用OWASP的应用程序安全验证标准(ASVS)中定义的身份验证和会话管理要求B.根据实践经验，编写自定义的会话管理方法(正确答案)C.使用ESAPI保护身份验证程序D.使用专门加密算法来存储密码，如bcrypt、PBKDF2或scrypt使用spring、fastjson、dubbo等开源框架时，应注意的事项描述最准确的是（）[单选题]*A.一定要保证为最新版本或当前版本没有漏洞B.业务中自行开发的涉及到序列化与反序列化时在ObjectInputStream中resolveClass里只是进行了class是否能被load，自定义ObjectInputStream,重载resolveClass的方法C.对className进行白名单校验D.以上都正确(正确答案)访问控制是软件安全开发关注重点之一，以下哪种方式不利于访问控制（）[单选题]*A、对登陆的用户分配账户和权限B、重命名默认账户和密码C、应遵循授予用户最小权限原则授权D、为方便大家使用，建立一个共享账号(正确答案)数据的保密性是关系到整个数据生命周期，以下对数据保密性描述错误的是（）[单选题]*A、应采用密码技术，保证数据传输过程的保密性B、应采用密码技术，保证存储过程的保密性C、可以存储授权后的敏感的验证数据，例如银行卡密码(正确答案)D、显示敏感数据时，需要脱敏或遮盖以下案例涉及了下面哪种安全问题?（）

“用户A使用公共计算机访问个人网站，离开时用户没有点击退出，而是直接关闭浏览器。攻击者在一段时间后能使用该浏览器扔可以访问网站内A的内容”

[单选题]*A、使用不安全的第三方组件B、失效的身份认证和会话管理(正确答案)C、SQL注入D、缺失访问控制功能安全软件的核心属性有（）[单选题]*A、保密性、完整性、可用性、可追溯性、抗抵赖性(正确答案)B、保密性、完整性、可用性、可预测性、正确性C、保密性、完整性、可用性、可依赖性、可靠性D、保密性、完整性、可用性、复杂性、可追踪性以下不符合移动应用软件的安全性的是（）[单选题]*A、移动应用软件身份认证数据可长期保存(正确答案)B、移动应用软件之间的重要数据不能被互操作C、移动应用软件数据文件所在的存储空间，被释放或重新分配前可得到完全清除D、移动应用软件应对通信过程中的敏感信息字段或整个报文进行密码加密，避免敏感数据泄露风险以下哪项活动对安全编码没有帮助（）[单选题]*A、代码审计B、安全编码规范C、安全编码培训D、代码版本管理(正确答案)人为的安全威胁包括主动攻击和被动攻击，以下属于被动攻击的是（）[单选题]*A、流量分析(正确答案)B、后门C、拒绝服务攻击D、特洛伊木马甲不但怀疑乙发给他的信遭人篡改，而且怀疑乙的公钥也是被人冒充的，为了消除甲的疑虑，甲和乙需要找一个双方都信任的第三方来签发数字证书，这个第三方是（）[单选题]*A、注册中心RAB、国家信息安全测评认证中心C、认证中心CA(正确答案)D、国际电信联盟ITU根据密码分析者可利用的数据资源来分类，可将密码攻击的类型分为四类，其中密码分析者能够选择密文并获得相应明文的攻击密码的类型属于（）[单选题]*A、仅知密文攻击B、选择密文攻击(正确答案)C、已知密文攻击D、选择明文攻击下面哪个不是owasptop10常见漏洞（）[单选题]*A、SQL注入B、反射型XSSC、流资源未正常关闭(正确答案)D、struts2远程执行漏洞下面哪种参数传入方式能防止SQL注入的产生（）[单选题]*A、<selectid="selectUserbyName"resultMap="BaseResultMap">select*fromuserwhereuser_name=${user_name}</select>B、Stringsql="select*fromssm_bookwheretitle="+title;stmt=conn.createStatement()res=stmt.executeQuery(sql)C、Queryquery=session.createQuery("fromSSMUserwhereuserName="+user_name);List<SSMUser>list=query.list();D、<selectid="selectUserbyName"resultMap="BaseResultMap">select*fromuserwhereuser_name=#{user_name}</select>(正确答案)Java反序列化是指把字节序列恢复为Java对象的过程，ObjectInputStream类的readObject()方法用于反序列化，以下是反序列化漏洞后果描述最准确的是（）[单选题]*A、暴露或间接暴露反序列化API。B、导致用户可以操作传入数据。C、攻击者可以精心构造反序列化对象并执行恶意代码。(正确答案)D、以上都是。18、验证码模块存在缺陷，可能被攻击者绕过，继而进行暴力破解攻击，有效缓解验证码功能缺陷的措施描述最准确的是（）。[单选题]*A、在登录界面加入健壮的验证码校验机制。B、将生成的验证码与用户会话session信息进行一一对应。C、校验用户提交的验证码不能为空，且应与服务器上存储的是否一致D、以上都对。(正确答案)对cookie设置描述中，错误的是。（）[单选题]*A、设置cookie的http-only和secure两个属性。B、设置认证cookie中，加入时间限制，“即使一直在活动，也要失效”。C、设置认证cookie中长时间不活动的失效时间。D、应像Session一样，时间自由开放，不作限制。(正确答案)20、尽量不要使用服务器端请求的方式获取相关内容，如无法避免，服务器端对前端传来的URL进行请求时，需验证URL的________，根据白名单策略进行过滤。()[单选题]*A、准确性B、符合性C、可靠性D、目的性(正确答案)下面哪个是推荐使用的对称密码算法。()[单选题]*A、DESB、AES(正确答案)C、SHAD、RSA下列JDK中的API调用中若使用不当易遭致OS命令注入的就是。()[单选题]*A、java.lang.System.load(）B、java.lang.Runtime.exec()(正确答案)C、java.lang.Thread.start(）D、java.lang.Process.waitFor(）23、推荐的防御SQL注入的最佳方式就是。()[单选题]*A、限制外部输入的长度B、使用存储过程C、使用预编译语句--java、sql、PreparedStatement(正确答案)D、对外部输入进行转义下列不符合编码规范的是。()[单选题]*A、数据库、IO操作等需要使用结束close()的对象必须在try-catch-finally的finally中close()B、数组声明的时候使用int[]index，而不要使用intindex[]C、所有的类必须重载toString（)方法，返回该类有意义的内容(正确答案)D、自己抛出的异常必须要填写详细的描述信息下列哪一种方法不属于XSS常见的攻击手法（）[单选题]*A、盗取cookieB、点击劫持C、修改管理员密码D、获取数据库(正确答案)软件危机和软件安全是近几年互联网兴起后才出现的[判断题]*对错(正确答案)恶意程序、安全缺陷、安全漏洞等都是典型的软件安全问题[判断题]*对(正确答案)错软件安全开发体系落地只要有相关自动化工具就行，不需要额外的人员参与[判断题]*对错(正确答案)开源软件、开源架构的广泛使用，是带来软件安全问题的主要原因之一[判断题]*对(正确答案)错软件安全开发体系的建设只要一次性投入，即可持久受用[判断题]*对错(正确答案)无论什么风险，都要杜绝掉，绝不可以不采取任何措施[判断题]*对错(正确答案)保障软件开发安全做好安全测试和代码审计就够了[判断题]*对错(正确答案)使用漏洞库匹配的方法进行扫描，可以发现所有的漏洞[判断题]*对错(正确答案)在软件安全开发过程中，所有活动都应建立在安全需求之上[判断题]*对(正确答案)错安全开发体系方法的落地，可以从安全开发培训开始[判断题]*对(正确答案)错威胁建模是SDLC实施过程中安全设计阶段的主要工作[判断题]*对错(正确答案)建立安全编码规范是安全开发阶段的重点工作[判断题]*对错(正确答案)Ansible是一款自动化代码安全测试工具，能够快速发现代码安全问题[判断题]*对错(正确答案)应急响应是独立与SDLC安全开发体系的安全过程[判断题]*对错(正确答案)数据加密是防止敏感数据泄露的重要方法之一[判断题]*对(正确答案)错拼接传入的参数是导致SQL注入的唯一原因[判断题]*对错(正确答案)Sonar是一款自动化代码审计工具，支持自定义代码审计脚本[判断题]*对(正确答案)错SQL注入漏洞是典型的安全代码漏洞，可以通过增加过滤器方式彻底的解决[判断题]*对错(正确答案)安全开发生命周期简称SDLC[判断题]*对错(正确答案)在软件开发生命周期中，后面的阶段