Java安全編碼培訓(xùn)考題

1、Java安全編碼培訓(xùn)考題感謝您能抽出幾分鐘時間來參加本次答題，現(xiàn)在我們就馬上開始吧！個人信息（請如實填寫）第 1 項：您的姓名為？ _ 第 2 項：您所在的公司為？O駿彩o科技O運營O印務(wù)第 3 項：您所在的部門為？ _單項選擇題（共 25 題，每題 4 分，共計 100 分）第 4 項：1、關(guān)于輸入過濾原則描述錯誤的是？OA 、 假設(shè)所有輸入都是惡意的OB 、 不要依賴客戶端檢驗OC 、 可以采用正則表達(dá)式檢驗OD 、 不要依賴服務(wù)端檢驗第 5 項：2、輸入過濾不可以防止以下哪種漏洞？OA、XSSOB、S第 L 注入OC 、 XML 注入OD 、 CSRF Q6 項：3、身份驗證是確定用戶身

2、份的過程， 大部分 Web 應(yīng)用程序使用口令機制來驗證用戶身份，以下哪項設(shè)計不正確？OA、提供帳戶鎖定功能OB、限定 IP 范圍OC、雙因素認(rèn)證OD、使用 GET 傳遞口令第 7 項：4、 某購物網(wǎng)站開發(fā)項目經(jīng)過需求分析進(jìn)入系統(tǒng)設(shè)計階段， 為了 保證用戶帳戶安全，項目開發(fā)人員決定用戶登錄時除了用戶名口令認(rèn)證方式外， 還加入基于數(shù)字證書的身份認(rèn)證功能，同時用戶口令使用 SHA-1 算法加密后存 放在后臺數(shù)據(jù)庫中，請問以上安全設(shè)計遵循的是哪項安全設(shè)計原則？OA 、最小特權(quán)原則OB 、職責(zé)分離原則OC 、縱深防御原則OD 、最少共享機制原則第 8 項：5、以下關(guān)于數(shù)字簽名說法正確的是？OA、數(shù)字簽名

3、是在所傳輸?shù)臄?shù)據(jù)后附加上一段和傳輸數(shù)據(jù)毫無關(guān) 系的數(shù)字信息OB、數(shù)字簽名能夠解決數(shù)據(jù)的加密傳輸，即安全傳輸問題Oc、數(shù)字簽名一般采用對稱加密機制OD、數(shù)字簽名能夠解決篡改、偽造等安全性問題第 9 項：6、最小特權(quán)是軟件安全設(shè)計的基本原則， 某應(yīng)用程序在設(shè)計時， 設(shè)計人員給出了以下四種策略，其中有一個違反了最小特權(quán)的原則，作為評審專 家，請指出是哪一個？OA 、軟件在 Linux 下安裝時，設(shè)定運行時使用 nobody 用戶運行 實例OB、軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù)，在備份模塊運行時，以數(shù)據(jù)庫備份操作員賬號連接數(shù)據(jù)庫Oc、軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息，是

4、用了一個日志用戶賬號連接數(shù)據(jù)庫，該賬號僅對日志表擁有權(quán)限OD 、為了保證軟件在 Windows 下能穩(wěn)定的運行，設(shè)定運行權(quán)限為 system ，確保系統(tǒng)運行正常，不會因為權(quán)限不足產(chǎn)生運行錯誤第 10 項： 7、敏感數(shù)據(jù)不包括哪些？OA 、數(shù)據(jù)庫連接字符串OB、口令Oc、密鑰OD 、庫存數(shù)據(jù)第 11 項： 8、敏感數(shù)據(jù)應(yīng)該如何處理？OA 、明文存儲OB 、 HTTPS 傳輸Oc、 HTTP GET 傳輸OD 、存儲在日志中第 12 項： 9 、編碼( encoder )可以防御哪些攻擊？OA 、 XSS 、 S第 L 注入OB 、信息泄露Oc、 cSRFOD、文件上傳 Q13 項：10、業(yè)務(wù)系統(tǒng)

5、運行中異常錯誤處理合理的方法是？OA 、讓系統(tǒng)自己處理異常OB 、調(diào)試方便，應(yīng)該讓更多的錯誤更詳細(xì)的顯示出來Oc 、捕獲錯誤，并拋出到前臺顯示OD 、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息第 14 項： 11 、常用的混合加密( hybrid Encryption )方案指的是：OA、使用對稱加密進(jìn)行通訊數(shù)據(jù)加密，使用公鑰加密進(jìn)行會話加 密協(xié)商OB、使用公鑰加密進(jìn)行通訊數(shù)據(jù)加密，使用對稱加密進(jìn)行會話加密 協(xié)商OC、 少量數(shù)據(jù)使用公鑰加密，大量數(shù)據(jù)使用對稱加密OD 、 少量數(shù)據(jù)使用對稱加密，大量數(shù)據(jù)使用公鑰加密第 15 項：12 、 S第 L 注入是黑客對 Web 數(shù)據(jù)庫進(jìn)行攻擊的常用

6、手段之一，以下不是有效 防范方法的是項：OA、 不使用關(guān)系型數(shù)據(jù)庫OB 、 使用存儲過程OC 、 認(rèn)真對表單輸入進(jìn)行校驗，從查詢變量中濾去盡可能多的可 疑字符OD 、嚴(yán)格區(qū)分?jǐn)?shù)據(jù)庫的訪問權(quán)限第 16 項：13 、 以下不是常用的預(yù)防棧溢出的防御方法的是？OA、 避免或正確使用可能產(chǎn)生棧溢出的函數(shù)OB 、 進(jìn)行堆棧檢查Oc、過濾特殊字符OD、Fuzz 測試第 17 項：14 、 使用多因素身份認(rèn)證能夠有效減輕下列哪種應(yīng)用程序的 安全隱患：OA 、注入漏洞OB 、跨站點腳本Oc、緩沖區(qū)溢出OD 、中間人攻擊第 18 項： 15 、 關(guān)于 XSS 跨站腳本攻擊，下列說法錯誤的是：OA 、 XSS(

7、cross site scripting )跨站腳本，是一種迫使 Web 站點回顯可執(zhí)行代碼的攻擊技術(shù)，而這些可執(zhí)行代碼由攻擊者提供、最終為用戶 瀏覽器加載OB、 XSS 攻擊，一共涉及到三方，即攻擊者、客戶端與網(wǎng)站。Oc、 XSS 攻擊，最常用的攻擊方式就是通過腳本盜取用戶端 cookie ， 從而進(jìn)一步進(jìn)行攻擊OD 、跨站腳本攻擊，分為反射型和存儲型兩種類型。反射型應(yīng)用 最廣泛第 19 項：16 、 線程的安全主要來源于其運行的并發(fā)性和對資源的共享性，以下哪種方法可以解決線程死鎖安全？OA、讓一個線程在運行時，其他線程必須等待該線程運行完畢才能搶占 CPUOB 、通過程序確定資源的合理分配

8、算法， 避免線程永遠(yuǎn)占據(jù)系統(tǒng)資 源OC、需要暫停時，讓線程的 run()方法結(jié)束運行以釋放資源；繼續(xù) 時，新開辟一個線程繼續(xù)工作OD 、將線程暫?；蚶^續(xù)，在 Thread 類中置入一個標(biāo)志，指出線 程應(yīng)該活動還是掛起第 20 項：17 、除了使用密鑰加密保護(hù)數(shù)據(jù)外，我們也經(jīng)常使用其他的手 段來對數(shù)據(jù)進(jìn)行保護(hù)，其中內(nèi)存數(shù)據(jù)的保護(hù)比較重要，那么其基本策略是什么？OA 、 所有內(nèi)存數(shù)據(jù)使用加密算法加密OB 、 敏感數(shù)據(jù)在內(nèi)存中長期存在，寫入硬盤后加密OC、 敏感數(shù)據(jù)在內(nèi)存中保留時間盡可能的短，并確保數(shù)據(jù)從不寫 入硬盤OD 、避免內(nèi)存數(shù)據(jù)丟失，因此可以長期保留在內(nèi)存中第 21 項：18 、應(yīng)用程序會受

9、到中間人攻擊的主要原因是：OA 、不正確的會話管理OB 、缺乏審計OC、不正確的存檔OD 、缺乏加密 第 22 項：19 、緩沖區(qū)溢出是一種非常普遍和危險的漏洞，指當(dāng)計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)時超過了緩沖區(qū)本身的容量而溢出。 那么下列不屬于緩沖區(qū)溢 出產(chǎn)生的后果的是？OA、程序運行失敗OB、系統(tǒng)宕機，重新啟動OC 、 軟件源代碼被篡改OD 、攻擊者可能利用它來執(zhí)行非授權(quán)指令，取得系統(tǒng)特權(quán)，進(jìn)而 進(jìn)行各種非法操作第 23 項：20 、 解決對象序列化安全的辦法不包括：OA 、 在將對象實現(xiàn)序列化時，進(jìn)行用戶身份認(rèn)證OB 、 不要將敏感信息序列化OC 、 不能在對象中保存和某個線程相關(guān)的狀態(tài)OD 、

10、當(dāng)對象可能被多個線程進(jìn)行操作時，應(yīng)該考慮同步問題第 24 項：21 、在類中，數(shù)據(jù)成員分為靜態(tài)成員和非靜態(tài)成員，其中靜態(tài) 成員具有共享性，所以就必須考慮其數(shù)據(jù)安全問題，下列哪些不屬于靜態(tài)成員的 注意事項？OA、靜態(tài)成員的初始化操作先于對象的實例化而進(jìn)行，所以在它 們的初始化中不要啟動線程，以免造成數(shù)據(jù)訪問問題，同時靜態(tài)成員的初始化操 作中應(yīng)不應(yīng)該有依賴關(guān)系OB、不用靜態(tài)變量保存某個對象的狀態(tài)，而應(yīng)該保存所有對象應(yīng)該共有的狀態(tài)OC、 不用類來訪問靜態(tài)變量，而用對象來訪問靜態(tài)變量OD 、不用對象來訪問靜態(tài)變量，而用類來訪問靜態(tài)變量第 25 項：22 、 URL 安全問題很多都是由于 Cookie

11、被盜取導(dǎo)致，請問 下列哪項不屬于 Cookie 盜取方法？OA 、利用跨站腳本技術(shù)，將信息發(fā)給目標(biāo)服務(wù)器，為了隱藏跨站 腳本的URL ，甚至可以結(jié)合 Ajax 在后臺竊取 CookieOB 、 通過軟件，竊取硬盤下的 CookieOC、 利用客戶端腳本盜取 CookieOD 、將 Cookie 數(shù)據(jù)保存在服務(wù)器短選用 session 方案第 26 項：23 、對于什么樣的文件可以不禁止下載（ ）OA 、 pdfOB 、 exeOC 、 batOD 、 com第 27 項：24 、下面關(guān)于跨站請求偽造，說法正確的是OA、 攻擊者不必偽造一個已經(jīng)預(yù)測好請求參數(shù)的操作數(shù)據(jù)包OB、 對于 Get 方法請求， URL 即包含了請求的參數(shù)，因此偽造 get 請求，直接用 url 即可OC、對于 post 方法的請求，因為請求的參數(shù)是在數(shù)據(jù)體中，目前 還沒有技術(shù)支持偽造 post