软件安全设计与开发测试题

软件安全设计与开发测试题一、单选题1.对称密钥加密比非对称密钥加密（）。A速度慢B速度相同C速度快(正确答案)D通常较慢2.下面关于验证码的使用错误的是（）。A必须使用带干扰的验证码B使用多张图片的验证码，可以增加破解的难度(正确答案)C用户信息与验证码验证必须在同一个请求提交给服务器D验证码验证错误后应更新验证码3.关于XSS的说法错误的是（）。A全称为跨站脚本攻击B通过HTML注入篡改网页，插入恶意脚本，控制用户浏览器的一种攻击行为C分为反射型XSS和存储型XSSD是一种基于服务器端的攻击脚本(正确答案)4.网站的安全协议是https时，该网站浏览时会进行（）处理。A增加访问标记B加密(正确答案)C身份验证D口令验证5.防范XSS攻击的措施是（）。A应尽量手工输入URL地址(正确答案)B网站管理员应注重过滤特殊字符，限制输入长度，在代码层面上杜绝XSS漏洞出现的可能性C不要随意点击别人留在论坛留言板里的链接D不要打开来历不明的邮件、邮件附件、帖子等6.攻击者通过端口扫描，可以直接获得（）。A目标主机的口令B给目标主机种植木马C目标主机使用了什么配置的主机D目标主机开放了哪些端口服务(正确答案)7.下列不属于Web应用带来的风险的是（）。ASQL注入BXSS攻击C上传漏洞DDOS攻击(正确答案)8.下列不属于OWASPtop10的是（）。A注入B不安全的直接对象引用C内存溢出(正确答案)D敏感信息泄露9.下列不属于安全设计原则的是（）。A最小特权B保护隐私C不要相信外部输入D默认信任(正确答案)10.应用开发过程中的安全不包括（）。A安全培训B收集安全需求C源代码审查D安全发布(正确答案)11.下列哪个不是浏览器的安全特性（）。A同源策略B浏览器沙箱C恶意网址拦截DCookie(正确答案)12.下列关于XSS说法错误的是（）。A全称为跨站脚本攻击B通过服务端注入(正确答案)C包括反射型XSS和存储型XSSD它是在用户端控制用户浏览器的一种攻击13.下列关于Cookie原理说法错误的是（）。A浏览器第一次向服务器发起请求，这时候没有cookieB服务器返回时发送Set-Cookie头，向客户端浏览器写入CookieC在该Cookie到期前，浏览器访问该域下所有页面，都将发送该CookieD浏览器在登录后才产生对应的Cookie(正确答案)14.下列哪个不属于XSS的防御手段（）。A设置HttpOnlyB输入检查C输出检查D禁用浏览器的cookie功能(正确答案)15.关于CSRF，错误的是（）。A全称为跨站点请求伪造B可以让攻击者盗用你的身份并发送恶意请求C必须得依赖XSS漏洞才能实现攻击(正确答案)D它是通过隐式认证来实现攻击的16.关于CSRF的防范措施，错误的是（）。A验证码BCSRFTokenCReferCheckD保持浏览器及时更新并打补丁(正确答案)17.关于CSRF与XSS，错误的是（）。AXSS攻击包含了HTML和客户端脚本语言BXSS需要借助脚本语言CCSRF需要借助脚本语言(正确答案)DXSS产生的原因主要是没有对输入进行过滤18.下面哪个不是属于钓鱼攻击的技术方法（）。A发送电子邮件B建立假冒网站C利用用户弱口令D上传非法的文件(正确答案)19.下面关于SQL注入错误的是（）。A用户在输入中混入操作系统命令(正确答案)B必须依赖SQL语句的动态构造C为了获取攻击者想要的信息D它一定依赖于数据库20.下面关于SQL注入防御说法错误的是（）。A服务端对所有输入数据验证有效性B使用黑名单验证不允许输入的字符(正确答案)C不要动态组装SQL语句D对于需要产生命令运行的数据，保持尽量少的数据由外部输入21.下列哪项属于认证错误后正确的反馈（）。A登录失败，用户XXX的密码错误B登录失败，无效的用户名C登录失败，该用户已被禁用D登录失败，用户名或密码错误(正确答案)22.关于web应用服务器的配置错误的是（）。A确保已经安装了最新的安全补丁B只启动应用程序需要的服务模块C隐藏应用服务器的版本号D打包后所有文件都应该能被应用服务器直接访问(正确答案)23.下列关于密码的存储安全的是（）。A明文存储B密码经过对称转换后存储C对称加密之后存储D将密码原文和随机生成的Salt字符串混淆进行哈希(正确答案)24.下列关于服务器的安全部署错误的是（）。AWeb服务器应置于隔离区BWeb应用的根目录必须部署在系统目录中(正确答案)CWeb服务器与应用服务器实