軟件安全設(shè)計(jì)與開發(fā)測(cè)試題

軟件安全設(shè)計(jì)與開發(fā)測(cè)試題一、單選題1.對(duì)稱密鑰加密比非對(duì)稱密鑰加密（）。A速度慢B速度相同C速度快(正確答案)D通常較慢2.下面關(guān)于驗(yàn)證碼的使用錯(cuò)誤的是（）。A必須使用帶干擾的驗(yàn)證碼B使用多張圖片的驗(yàn)證碼，可以增加破解的難度(正確答案)C用戶信息與驗(yàn)證碼驗(yàn)證必須在同一個(gè)請(qǐng)求提交給服務(wù)器D驗(yàn)證碼驗(yàn)證錯(cuò)誤后應(yīng)更新驗(yàn)證碼3.關(guān)于XSS的說法錯(cuò)誤的是（）。A全稱為跨站腳本攻擊B通過HTML注入篡改網(wǎng)頁，插入惡意腳本，控制用戶瀏覽器的一種攻擊行為C分為反射型XSS和存儲(chǔ)型XSSD是一種基于服務(wù)器端的攻擊腳本(正確答案)4.網(wǎng)站的安全協(xié)議是https時(shí)，該網(wǎng)站瀏覽時(shí)會(huì)進(jìn)行（）處理。A增加訪問標(biāo)記B加密(正確答案)C身份驗(yàn)證D口令驗(yàn)證5.防范XSS攻擊的措施是（）。A應(yīng)盡量手工輸入U(xiǎn)RL地址(正確答案)B網(wǎng)站管理員應(yīng)注重過濾特殊字符，限制輸入長(zhǎng)度，在代碼層面上杜絕XSS漏洞出現(xiàn)的可能性C不要隨意點(diǎn)擊別人留在論壇留言板里的鏈接D不要打開來歷不明的郵件、郵件附件、帖子等6.攻擊者通過端口掃描，可以直接獲得（）。A目標(biāo)主機(jī)的口令B給目標(biāo)主機(jī)種植木馬C目標(biāo)主機(jī)使用了什么配置的主機(jī)D目標(biāo)主機(jī)開放了哪些端口服務(wù)(正確答案)7.下列不屬于Web應(yīng)用帶來的風(fēng)險(xiǎn)的是（）。ASQL注入BXSS攻擊C上傳漏洞DDOS攻擊(正確答案)8.下列不屬于OWASPtop10的是（）。A注入B不安全的直接對(duì)象引用C內(nèi)存溢出(正確答案)D敏感信息泄露9.下列不屬于安全設(shè)計(jì)原則的是（）。A最小特權(quán)B保護(hù)隱私C不要相信外部輸入D默認(rèn)信任(正確答案)10.應(yīng)用開發(fā)過程中的安全不包括（）。A安全培訓(xùn)B收集安全需求C源代碼審查D安全發(fā)布(正確答案)11.下列哪個(gè)不是瀏覽器的安全特性（）。A同源策略B瀏覽器沙箱C惡意網(wǎng)址攔截DCookie(正確答案)12.下列關(guān)于XSS說法錯(cuò)誤的是（）。A全稱為跨站腳本攻擊B通過服務(wù)端注入(正確答案)C包括反射型XSS和存儲(chǔ)型XSSD它是在用戶端控制用戶瀏覽器的一種攻擊13.下列關(guān)于Cookie原理說法錯(cuò)誤的是（）。A瀏覽器第一次向服務(wù)器發(fā)起請(qǐng)求，這時(shí)候沒有cookieB服務(wù)器返回時(shí)發(fā)送Set-Cookie頭，向客戶端瀏覽器寫入CookieC在該Cookie到期前，瀏覽器訪問該域下所有頁面，都將發(fā)送該CookieD瀏覽器在登錄后才產(chǎn)生對(duì)應(yīng)的Cookie(正確答案)14.下列哪個(gè)不屬于XSS的防御手段（）。A設(shè)置HttpOnlyB輸入檢查C輸出檢查D禁用瀏覽器的cookie功能(正確答案)15.關(guān)于CSRF，錯(cuò)誤的是（）。A全稱為跨站點(diǎn)請(qǐng)求偽造B可以讓攻擊者盜用你的身份并發(fā)送惡意請(qǐng)求C必須得依賴XSS漏洞才能實(shí)現(xiàn)攻擊(正確答案)D它是通過隱式認(rèn)證來實(shí)現(xiàn)攻擊的16.關(guān)于CSRF的防范措施，錯(cuò)誤的是（）。A驗(yàn)證碼BCSRFTokenCReferCheckD保持瀏覽器及時(shí)更新并打補(bǔ)丁(正確答案)17.關(guān)于CSRF與XSS，錯(cuò)誤的是（）。AXSS攻擊包含了HTML和客戶端腳本語言BXSS需要借助腳本語言CCSRF需要借助腳本語言(正確答案)DXSS產(chǎn)生的原因主要是沒有對(duì)輸入進(jìn)行過濾18.下面哪個(gè)不是屬于釣魚攻擊的技術(shù)方法（）。A發(fā)送電子郵件B建立假冒網(wǎng)站C利用用戶弱口令D上傳非法的文件(正確答案)19.下面關(guān)于SQL注入錯(cuò)誤的是（）。A用戶在輸入中混入操作系統(tǒng)命令(正確答案)B必須依賴SQL語句的動(dòng)態(tài)構(gòu)造C為了獲取攻擊者想要的信息D它一定依賴于數(shù)據(jù)庫(kù)20.下面關(guān)于SQL注入防御說法錯(cuò)誤的是（）。A服務(wù)端對(duì)所有輸入數(shù)據(jù)驗(yàn)證有效性B使用黑名單驗(yàn)證不允許輸入的字符(正確答案)C不要?jiǎng)討B(tài)組裝SQL語句D對(duì)于需要產(chǎn)生命令運(yùn)行的數(shù)據(jù)，保持盡量少的數(shù)據(jù)由外部輸入21.下列哪項(xiàng)屬于認(rèn)證錯(cuò)誤后正確的反饋（）。A登錄失敗，用戶XXX的密碼錯(cuò)誤B登錄失敗，無效的用戶名C登錄失敗，該用戶已被禁用D登錄失敗，用戶名或密碼錯(cuò)誤(正確答案)22.關(guān)于web應(yīng)用服務(wù)器的配置錯(cuò)誤的是（）。A確保已經(jīng)安裝了最新的安全補(bǔ)丁B只啟動(dòng)應(yīng)用程序需要的服務(wù)模塊C隱藏應(yīng)用服務(wù)器的版本號(hào)D打包后所有文件都應(yīng)該能被應(yīng)用服務(wù)器直接訪問(正確答案)23.下列關(guān)于密碼的存儲(chǔ)安全的是（）。A明文存儲(chǔ)B密碼經(jīng)過對(duì)稱轉(zhuǎn)換后存儲(chǔ)C對(duì)稱加密之后存儲(chǔ)D將密碼原文和隨機(jī)生成的Salt字符串混淆進(jìn)行哈希(正確答案)24.下列關(guān)于服務(wù)器的安全部署錯(cuò)誤的是（）。AWeb服務(wù)器應(yīng)置于隔離區(qū)BWeb應(yīng)用的根目錄必須部署在系統(tǒng)目錄中(正確答案)CWeb服務(wù)器與應(yīng)用服務(wù)器實(shí)