軟件安全練習(xí)卷附答案

第頁軟件安全練習(xí)卷附答案1.某電子商務(wù)網(wǎng)站在開發(fā)設(shè)計(jì)時(shí)，使用了威脅建模方法來分析電子商務(wù)網(wǎng)站所面臨的威脅。STRIDE是微軟SDL中提出的威脅建模方法，將威脅分為六類，為每一類威脅提供了標(biāo)準(zhǔn)的消減措施，Spoofing是STRIDE中欺騙類的威脅，以下威脅中哪個(gè)可以歸入此類威脅？（）A、網(wǎng)站競(jìng)爭(zhēng)對(duì)手可能雇傭攻擊者實(shí)施DDos攻擊，降低網(wǎng)站訪問速度B、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，未對(duì)數(shù)據(jù)進(jìn)行加密，可能導(dǎo)致用戶傳輸信息泄漏，例如購買的商品金額等C、網(wǎng)站使用http協(xié)議進(jìn)行瀏覽等操作，無法確認(rèn)數(shù)據(jù)與用戶發(fā)出的是否一致，可能數(shù)據(jù)被中途篡改D、網(wǎng)站使用用戶名、密碼進(jìn)行登錄驗(yàn)證，攻擊者可能會(huì)利用弱口令或其他方式獲得用戶密碼，以該用戶身份登錄修改用戶訂單等信息【正確答案】：D2.接收的數(shù)據(jù)與發(fā)送的不一致，是破壞了信息的（）。A、保密性B、完整性C、可用性D、真實(shí)性【正確答案】：B3.下面對(duì)PE文件描述不正確的是（）。A、是任何Win32平臺(tái)的PE裝載器都能識(shí)別和使用PE文件格式B、移植到不同的CPU上PE文件也不會(huì)改變C、研究PE文件格式，有助于了解病毒的傳染原理D、研究PE文件格式，有助于了解Windows結(jié)構(gòu)【正確答案】：B4.以下關(guān)于軟件安全測(cè)試說法正確的是？()A、軟件安全測(cè)試就是黑盒測(cè)試B、軟件安全測(cè)試關(guān)注的是軟件的功能C、Fuzz測(cè)試是經(jīng)常采用的安全測(cè)試方法之一D、軟件安全測(cè)試可以發(fā)現(xiàn)軟件中產(chǎn)生的所有安全問題【正確答案】：C5.在SQL注入中，以下注入方式消耗時(shí)間最長(zhǎng)的是（）A、聯(lián)合注入B、報(bào)錯(cuò)注入C、時(shí)間盲注D、寬字節(jié)注入【正確答案】：C6.測(cè)試系統(tǒng)會(huì)不會(huì)因?yàn)橛脩魴?quán)限的改變而造成混亂屬于（）A、可記賬性/審計(jì)測(cè)試B、授權(quán)測(cè)試C、可認(rèn)證性測(cè)試D、可用性測(cè)試【正確答案】：B7.在SDL模型中，威脅模型和攻擊面評(píng)析的安全活動(dòng)，屬于（）A、第2階段安全需求分析B、第3階段安全設(shè)計(jì)C、第4階段安全實(shí)施D、第5階段安全驗(yàn)證【正確答案】：D8.在安全開發(fā)模型中，用于構(gòu)建安全軟件的輕量級(jí)過程，應(yīng)用該方法可以較好地處理那些可能導(dǎo)致安全服務(wù)出現(xiàn)漏洞的軟件脆弱性。這種模型是（）A、SDLBSICLASPD、SAMM【正確答案】：C9.在SDL模型中，減少攻擊面的安全活動(dòng)，屬于（）A、第1階段安全培訓(xùn)B、第2階段安全需求分析C、第3階段安全設(shè)計(jì)D、第4階段安全實(shí)施【正確答案】：C10.PE文件中引入函數(shù)節(jié)的名字一般是（）A、.idata(.rdata)B、.edataC、.text(.code)D、.data(.bss)【正確答案】：A11.以下對(duì)多樣化編譯技術(shù)的描述不正確的是（）A、在程序從源代碼到可執(zhí)行文件的編譯過程中進(jìn)行多樣化轉(zhuǎn)化，使得每次編譯得到的可執(zhí)行文件之間都有一些不同B、多樣化編譯技術(shù)不能在程序運(yùn)行過程中定期或隨時(shí)改變自己的特征，使其呈現(xiàn)出不同時(shí)刻的多樣性C、程序多樣性技術(shù)使得攻擊者針對(duì)變體的攻擊需要很大的代價(jià)D、程序多樣化技術(shù)使攻擊者通過反編譯破解軟件變得困難【正確答案】：B12.被調(diào)用函數(shù)執(zhí)行結(jié)束后，會(huì)執(zhí)行一些操作：（1）降低棧頂，回收當(dāng)前棧幀的空間；（2）彈出返回地址RET，并存入EIP寄存器，使進(jìn)程跳轉(zhuǎn)到新的EIP所指執(zhí)行指令處；（3）保存返回值；（4）彈出當(dāng)前EBP指向的指，并存入EBP寄存器，使得EBP指向主調(diào)函數(shù)棧幀的棧底。返回主調(diào)函數(shù)的正確步驟是（）A、（1）-（2）-（3）-（4）B、（3）-（1）-（4）-（2）C、（3）-（1）-（2）-（4）D、（4）-（1）-（2）-（3）【正確答案】：B13.在Java的安全機(jī)制中，以下屬于語言層安全的是（）A、安全管理器B、通過某些關(guān)鍵字定義代碼的可見性范圍C、類加載器D、字節(jié)碼驗(yàn)證器【正確答案】：B14.以下哪一個(gè)關(guān)于信息安全評(píng)估的標(biāo)準(zhǔn)首先明確提出了保密性、完整性和可用性三項(xiàng)信息安全特性（）A、ITSECB、TCSECC、GB/T9387.2D、彩虹系列的橙皮書【正確答案】：A15.以下對(duì)PE文件結(jié)構(gòu)的順序描述正確的是（）

1）MZ文件頭；2）字串“PE\0\0”；（3）DOS插樁程序；（4）節(jié)表；（5）節(jié)；（6）映像文件頭；（7）可選映像頭A、（1）-（2）-（3）-（4）-（5）-（6）-（7）B、（1）-（3）-（2）-（6）-（7）-（4）-（5）C、（2）-（1）-（4）-（3）-（5）-（6）-（7）D、（2）-（1）-（4）-（3）-（6）-（5）-（7）【正確答案】：B16.軟件出現(xiàn)可感知的不正常、不正確或不安規(guī)范執(zhí)行的狀態(tài)，屬于（）A、軟件錯(cuò)誤B、軟件缺陷C、軟件故障D、軟件失效【正確答案】：C17.微軟提出了STRIDE模型，其中R是Repudiation（抵賴）的縮寫，關(guān)于此項(xiàng)錯(cuò)誤的是（）A、某用戶在登錄系統(tǒng)并下載數(shù)據(jù)后，卻聲稱“我沒有下載過數(shù)據(jù)”，這個(gè)威脅屬于R威脅B、某用戶在網(wǎng)絡(luò)通信中傳輸完數(shù)據(jù)后，卻聲稱“這些數(shù)據(jù)不是我傳輸?shù)摹?，這個(gè)威脅屬于R威脅C、對(duì)于R威脅，可以選擇使用如強(qiáng)認(rèn)證、數(shù)字簽名、安全審計(jì)等技術(shù)消減D、對(duì)于R威脅，可以選擇使用如隱私保護(hù)、過濾、流量控制等技術(shù)消減【正確答案】：D18.以下哪一項(xiàng)不屬于跨站腳本（XSS）漏洞的危害（）A、釣魚欺騙B、身份盜用C、SQL數(shù)據(jù)泄露D、網(wǎng)站掛馬【正確答案】：C19.在軟件功能設(shè)計(jì)的參數(shù)操作中，下面做法不正確的是（）A、應(yīng)避免使用包含敏感數(shù)據(jù)或者影響服務(wù)器安全邏輯的查詢字符串參數(shù)B、應(yīng)使用HTTPGET來代替POST提交窗體，避免使用隱藏窗體C、應(yīng)加密查詢字符串參數(shù)D、不要信任HTTP頭信息【正確答案】：B20.使用union的SQL注入的類型是（）A、報(bào)錯(cuò)注入B、布爾注入C、基于時(shí)間延遲注入D、聯(lián)合查詢注入【正確答案】：D21.某網(wǎng)站為了更好向用戶提供服務(wù)，在新版本設(shè)計(jì)時(shí)提供了用戶快捷登錄功能，用戶如果使用上次的IP地址進(jìn)行訪問，就可以無需驗(yàn)證直接登錄，該功能推出后，導(dǎo)致大量用戶賬號(hào)被盜用，關(guān)于以上問題的說法正確的是()A、網(wǎng)站問題是由于開發(fā)人員不熟悉安全編碼，編寫了不安全的代碼，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題B、網(wǎng)站問題是由于用戶缺乏安全意識(shí)，使用了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題C、網(wǎng)站問題是由于使用便利性提高，帶來網(wǎng)站用戶數(shù)增加，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題D、網(wǎng)站問題是由于設(shè)計(jì)人員不了解安全設(shè)計(jì)關(guān)鍵要素，設(shè)計(jì)了不安全的功能，導(dǎo)致網(wǎng)站攻擊面增大，產(chǎn)生此安全問題【正確答案】：D22.每年至少開展一次等級(jí)測(cè)評(píng)的是（）A、二級(jí)B、三級(jí)及以上C、四級(jí)及以上D、五級(jí)【正確答案】：B23.某網(wǎng)站管理員小鄧在流量監(jiān)測(cè)中發(fā)現(xiàn)近期網(wǎng)站的入站ICMP流量上升了250%，盡管網(wǎng)站沒有發(fā)現(xiàn)任何的性能下降或其他問題，但為了安全起見，他仍然向主管領(lǐng)導(dǎo)提出了應(yīng)對(duì)措施，作為主管負(fù)責(zé)人，請(qǐng)選擇有效的針對(duì)此問題的應(yīng)對(duì)措施：()A、在防火墻上設(shè)置策略，阻止所有的ICMP流量進(jìn)入（關(guān)掉PING）B、刪除服務(wù)器上的ping.exe程序C、增加帶寬以應(yīng)對(duì)可能的拒絕服務(wù)攻擊D、增加網(wǎng)站服務(wù)器以應(yīng)對(duì)即將來臨的拒絕服務(wù)攻擊【正確答案】：A24.信息保障模型中PDRR中的D是指（）。A、保護(hù)B、響應(yīng)C、檢測(cè)D、恢復(fù)【正確答案】：C解析：

ProtectionDetectionReactionRecovery防護(hù)檢測(cè)響應(yīng)恢復(fù)25.下面的攻擊方式中屬于被動(dòng)攻擊的是（）。A、中斷B、截取C、修改D、捏造【正確答案】：B26.黑客拿到用戶的cookie后能做什么?（）A、能知道你訪問過什么網(wǎng)站B、能從你的Cookie中提取出賬號(hào)密碼C、能夠冒充你的用戶登錄網(wǎng)站D、沒有什么作用【正確答案】：C27.在安全編程實(shí)踐中，密碼算法的選擇屬于（）A、輸入驗(yàn)證B、數(shù)據(jù)凈化C、錯(cuò)誤信息輸出保護(hù)D、數(shù)據(jù)保護(hù)【正確答案】：D28.HTTP狀態(tài)碼是反應(yīng)Web請(qǐng)求結(jié)果的一種描述，以下狀態(tài)碼表示請(qǐng)求資源不存在的是（）A、200B、404C、401D、402【正確答案】：B29.信息保障模型中PPDRR中的第一個(gè)P是指（）。A、保護(hù)B、策略C、檢測(cè)D、恢復(fù)【正確答案】：B解析：

策略policy防護(hù)protection檢測(cè)detection響應(yīng)response恢復(fù)recovery30.函數(shù)調(diào)用需要完成較多的功能，會(huì)對(duì)系統(tǒng)棧實(shí)施一些操作。（1）返回地址RET入棧；（2）參數(shù)入棧；（3）將當(dāng)前棧幀調(diào)整為被調(diào)用函數(shù)的棧幀；（4）代碼區(qū)跳轉(zhuǎn)。以下操作順序正確的是（）A、（2）-（1）-（3）-（4）B、（1）-（2）-（3）-（4）C、（2）-（1）-（4）-（3）D、（1）-（2）-（4）-（3）【正確答案】：C31.下面哪種不是格式化串漏洞的利用方法。（）A、改變格式化串中輸出參數(shù)的個(gè)數(shù)實(shí)現(xiàn)修改指定地址的值B、修改填充字符串長(zhǎng)度C、改變輸出的寬度D、使用控制符%n【正確答案】：D32.通過對(duì)軟件自身程序進(jìn)行逆向分析，剖析軟件的注冊(cè)機(jī)制，對(duì)軟件的各類限制實(shí)施破解，從而使得非法使用者可以正常使用軟件，這個(gè)威脅屬于（）A、軟件缺陷B、軟件漏洞C、惡意軟件D、軟件破解【正確答案】：D33.在安全開發(fā)模型中，體系較為完善，實(shí)施要求嚴(yán)格，適合于大型機(jī)構(gòu)使用。這種模型是（）A、SDL系列BSI系列CLASPD、SAMM【正確答案】：A34.在使用系統(tǒng)安全工程能力成熟度模型(SSE-CCM)對(duì)個(gè)組織的安全工程能力成熟度進(jìn)行測(cè)量時(shí)，有關(guān)測(cè)量結(jié)果，錯(cuò)誤的理解是（）A、如果該組織在執(zhí)行某個(gè)特定的過程區(qū)域時(shí)具備某個(gè)特定級(jí)別的部分公共特征時(shí)，則這個(gè)組織在這個(gè)過程區(qū)域的能力成熱度未達(dá)到此級(jí)B、如果該組織某個(gè)過程區(qū)域(ProcessAreas,PA)具備了“定義標(biāo)準(zhǔn)過程”“執(zhí)行已定義的過程”兩個(gè)公共特征，則過程區(qū)域的能力成熟度級(jí)別達(dá)到3級(jí)“充分定義級(jí)”C、如果某個(gè)過程區(qū)域(ProcessAreas,PA)+包含4個(gè)基本實(shí)施(BasePractices,+BP)，執(zhí)行此PA時(shí)執(zhí)行了3個(gè)BP，則此過程區(qū)域的能力成熟度級(jí)別為0D、組織在不同的過程區(qū)域的能力成熟度可能處于不同的級(jí)別上【正確答案】：B35.Win32系統(tǒng)中，進(jìn)程使用的內(nèi)存按功能可以分成4個(gè)區(qū)域，用于存儲(chǔ)全局變量和靜態(tài)變量的是（）A、代碼區(qū)B、數(shù)據(jù)區(qū)C、堆區(qū)D、棧區(qū)【正確答案】：B36.在PE文件中確定NT映像頭（包含PE簽名、映像文件頭和可選映像頭）的位置是（）A、通過DOS小程序部分自動(dòng)定位B、固定為文件開始位置的偏移BOH處C、由映像文件頭里面確定D、由MZ頭中3CH位置開始的4個(gè)字節(jié)確定【正確答案】：D37.下面對(duì)軟件漏洞的特點(diǎn)描述錯(cuò)誤的是（）A、不可修補(bǔ)性B、持久性與時(shí)效性C、廣泛性與具體性D、可利用性與隱蔽性【正確答案】：A38.破壞信息的真實(shí)性的攻擊模式是（）A、中斷B、截取C、修改D、捏造【正確答案】：D39.按漏洞成因分類，SQL注入、跨站腳本執(zhí)行屬于（）A、邏輯錯(cuò)誤類B、輸入驗(yàn)證類C、設(shè)計(jì)錯(cuò)誤類D、配置錯(cuò)誤類【正確答案】：B40.某公司開發(fā)一個(gè)游戲網(wǎng)站，但是由于網(wǎng)站軟件存在漏洞，在網(wǎng)絡(luò)中傳輸大數(shù)據(jù)包時(shí)總是會(huì)丟失一些數(shù)據(jù)，如一次性傳輸大于2000個(gè)字節(jié)數(shù)據(jù)時(shí)，總是會(huì)有3到5個(gè)字節(jié)不能傳送到對(duì)方，關(guān)于此案例，可以推斷的是()A、該網(wǎng)站軟件存在保密性方面安全問題B、該網(wǎng)站軟件存在完整性方面安全問題C、該網(wǎng)站軟件存在可用性方面安全問題D、該網(wǎng)站軟件存在不可否認(rèn)性方面安全問題【正確答案】：B41.以下不是C語言中針對(duì)緩沖區(qū)溢出的解決措施的是（）A、使用安全字符串函數(shù)B、如果使用了不安全函數(shù)，應(yīng)要求代碼傳遞緩沖區(qū)的長(zhǎng)度C、如果使用了不安全函數(shù)，應(yīng)正確使用函數(shù)參數(shù)D、關(guān)閉編譯器的安全編譯選項(xiàng)【正確答案】：D42.ITU-T推薦的漏洞標(biāo)準(zhǔn)中，通用漏洞和披露是（）A、CVSSB、CWECWSSD、CVE【正確答案】：D43.與ISO/IEC15408標(biāo)準(zhǔn)等同的國標(biāo)是（）A、GB/T30270B、GB/T18336C、GB30270D、GB18336【正確答案】：B44.以下哪一項(xiàng)不是用來判斷一個(gè)文件是PE文件的依據(jù)。（）A、該文件的前兩個(gè)字節(jié)是不是4D5AB、DOS程序頭中的偏移3CH處的四個(gè)字節(jié)是否是50\45\00\00C、DOS程序頭中的偏移3CH處的四個(gè)字節(jié)是否是PE\0\0D、該文件的前兩個(gè)字符是不是PE【正確答案】：D45.某公司建設(shè)面向內(nèi)部員工的辦公自動(dòng)化系統(tǒng)和面向外部客戶的營銷系統(tǒng)，通過公開招標(biāo)選擇M公司為實(shí)施單位，并選擇了H監(jiān)理公司承擔(dān)該項(xiàng)目的全程監(jiān)理工作。目前，各個(gè)應(yīng)用系統(tǒng)均已完成開發(fā)，M公司已經(jīng)提交了驗(yàn)收申請(qǐng)。監(jiān)理公司需要對(duì)M公司提交的軟件配置文件進(jìn)行審查，在以下所提交的文檔中，那一項(xiàng)屬于開發(fā)類文檔（）A、項(xiàng)目計(jì)劃書B、質(zhì)量控制計(jì)劃C、評(píng)審報(bào)告D、需求說明書【正確答案】：D46.不允許程序員檢查自己編寫的代碼，這是符合（）A、最小權(quán)限原則B、權(quán)限分離原則C、縱深防御原則D、完全控制原則【正確答案】：B47.利用ret-to-libc執(zhí)行命令或進(jìn)行API調(diào)用，可以繞開Windows安全漏洞保護(hù)技術(shù)的是（）A、安全結(jié)構(gòu)化異常處理SafeSEHB、地址空間布局隨機(jī)化ASLRC、數(shù)據(jù)執(zhí)行保護(hù)DEPD、/GS保護(hù)技術(shù)【正確答案】：C48.以下描述的軟件安全測(cè)試原則正確的是（）A、應(yīng)在軟件編程完成后，才進(jìn)行軟件安全測(cè)試，越晚發(fā)現(xiàn)漏洞，修復(fù)的成本越低B、軟件安全測(cè)試應(yīng)該對(duì)所有風(fēng)險(xiǎn)模塊都要進(jìn)行測(cè)試，測(cè)試過程中不需要分優(yōu)先級(jí)C、程序員應(yīng)檢查自己的程序D、盡量避免測(cè)試的隨意性【正確答案】：D49.網(wǎng)絡(luò)安全等級(jí)保護(hù)分級(jí)要求，第三級(jí)別適用正確的是：（）A、適用于一般的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的權(quán)益有定影響，但不危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益B、適用于一定程度上涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害C、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息和信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害D、適用于涉及國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害【正確答案】：B50.為了進(jìn)一步提高信息安全的保障能力和防護(hù)水平，保障和促進(jìn)信息化建設(shè)的健康發(fā)展，公安部等四部門聯(lián)合發(fā)布《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))，對(duì)等級(jí)保護(hù)工作的開展提供宏觀指導(dǎo)和約束。明確了等級(jí)保護(hù)工作的基本內(nèi)容、工作要求和實(shí)施計(jì)劃，以及各部門工作職責(zé)分工等。關(guān)于該文件，下面理解正確的是（）A、該文件是一個(gè)由部委發(fā)布的政策性文件，不屬于法律文件.B、該文件適用于2004年的等級(jí)保護(hù)工作。其內(nèi)容不能約束到2005年及之后的工作C、該文件是一個(gè)總體性指導(dǎo)文件，規(guī)定了所有信息系統(tǒng)都要納入等級(jí)保護(hù)定級(jí)范圍GB17859D、該文件適用范圍為發(fā)文的這四個(gè)部門，不適用于其他部門和企業(yè)等單位【正確答案】：A51.在模糊測(cè)試方法中，具有可充分發(fā)揮自己過去的經(jīng)驗(yàn)和“直覺”的優(yōu)點(diǎn)，且常用語Web應(yīng)用安全測(cè)試的方法屬于（）A、預(yù)生成測(cè)試用例B、隨機(jī)生成輸入C、手工協(xié)議變異測(cè)試D、變異或強(qiáng)制性測(cè)試【正確答案】：C52.某政府機(jī)構(gòu)委托開發(fā)商開發(fā)了一個(gè)OA系統(tǒng)，其中某一個(gè)公文分發(fā)，公文通知等為WORD文檔，廠商在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)使用了FTP來對(duì)公文進(jìn)行分發(fā)，以下說法不正確的是()A、FTP協(xié)議明文傳輸數(shù)據(jù)，包括用戶名和密碼，攻擊者可能通過會(huì)話過程嗅探獲得FTP密碼，從而威脅OA系統(tǒng)B、FTP協(xié)議需要進(jìn)行驗(yàn)證才能訪問，攻擊者可以利用FTP進(jìn)行口令的暴力破解C、FTP協(xié)議已經(jīng)是不太使用的協(xié)議，可能與新版本的瀏覽器存在兼容性問題D、FTP應(yīng)用需要安裝服務(wù)器端軟件，軟件存在漏洞可能會(huì)影響到OA系統(tǒng)的安全【正確答案】：C53.為保障信息系統(tǒng)的安全，某經(jīng)營公共服務(wù)系統(tǒng)的公司準(zhǔn)備并編制一份針對(duì)性的信息安全保障方案，并將編制任務(wù)交給了小王，為此，小王決定首先編制出份信息安全需求報(bào)告。關(guān)于此項(xiàng)工作，下面說法錯(cuò)誤的是（）A、信息安全需求是安全方案設(shè)計(jì)和安全措施的依據(jù)B、信息安全需求應(yīng)當(dāng)是從信息系統(tǒng)所有者(用戶)的角度出發(fā)，使用規(guī)范化、結(jié)構(gòu)化的語言來描述信息系統(tǒng)安全保障需求C、信息安全需求應(yīng)當(dāng)基于信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果、業(yè)務(wù)需求和有關(guān)政策法規(guī)和標(biāo)準(zhǔn)的合規(guī)性要求得到D、信息安全需求來自于該公眾服務(wù)信息系統(tǒng)的功能設(shè)計(jì)方案【正確答案】：D54.以下哪一項(xiàng)不是信息的特點(diǎn)（）。A、價(jià)值是絕對(duì)的B、可流動(dòng)C、傳輸過程可增值D、可共享【正確答案】：A55.軟件的安全性不應(yīng)該依賴于設(shè)計(jì)的保密，這是復(fù)符合（）A、開放設(shè)計(jì)B、保護(hù)最弱一環(huán)原則C、最少共用機(jī)制原則D、安全機(jī)制的經(jīng)濟(jì)性原則【正確答案】：A56.破壞信息的保密性的攻擊模式是（）A、中斷B、截取C、修改D、捏造【正確答案】：B57.攻擊者分析通信雙方的流量特征信息，是破壞了（）。A、真實(shí)性B、完整性C、保密性D、可用性【正確答案】：C58.如果需要根據(jù)可執(zhí)行文件獲得其中每一個(gè)節(jié)在內(nèi)存中的具體信息，下面步驟正確的是（）

1）讀取IMAGE_FILE_HEADER（映像文件頭）的NumberOfSections（節(jié)數(shù)）域，獲得文件的節(jié)數(shù)目；（2）SizeOfHeaders（頭尺寸，這是NT映像頭與節(jié)表的大小之和）域值作為節(jié)表的文件偏移量，并以此定位節(jié)表；（3）將VirtualAddress（本節(jié)相對(duì)虛擬地址）域值加上ImageBase（可執(zhí)行文件的默認(rèn)裝入基地址）域值，獲得節(jié)起始的虛擬地址；（4）遍歷整個(gè)數(shù)組，直至所有節(jié)都已處理完畢；（5）遍歷整個(gè)結(jié)構(gòu)數(shù)組檢查各成員值。對(duì)于每個(gè)結(jié)構(gòu)，讀取PointerToRawData（本節(jié)原始數(shù)據(jù)在文件中的位置）域值并定位到該文件偏移量，然后讀取SizeOfRawData（本節(jié)的經(jīng)過文件對(duì)齊后的尺寸）域值得到該節(jié)映射到內(nèi)存的總字節(jié)數(shù)。A、（1）-（2）-（3）-（4）-（5）B、（1）-（2）-（5）-（3）-（4）C、（1）-（2）-（4）-（5）-（3）D、（1）-（2）-（5）-（4）-（3）【正確答案】：B59.將漏洞分類為：內(nèi)存破壞類、邏輯錯(cuò)誤類、輸入驗(yàn)證類、設(shè)計(jì)錯(cuò)誤類和配置錯(cuò)誤類，屬于（）。A、基于威脅類型的分類B、基于漏洞利用位置的分類C、基于漏洞成因的分類D、從操作系統(tǒng)研究的角度提出的漏洞分類方法【正確答案】：C60.在數(shù)據(jù)安全設(shè)計(jì)中，宜使用安全的傳輸協(xié)議來傳輸文件，這是（）A、機(jī)密性要求B、完整性要求C、可用性要求D、不可否認(rèn)性要求【正確答案】：A61.PE文件中不包括在NT映像頭中的是（）A、字串“PE\0\0”B、映像文件頭C、可選映像頭D、節(jié)表【正確答案】：D62.下面哪一項(xiàng)是緩沖溢出的危害？（）A、可能導(dǎo)致shellcode的執(zhí)行而非法獲取權(quán)限，破壞系統(tǒng)的保密性B、執(zhí)行shellcode后可能進(jìn)行非法控制，破壞系統(tǒng)的完整性C、可能導(dǎo)致拒絕服務(wù)攻擊，破壞系統(tǒng)的可用性D、以上都是【正確答案】：D63.確定程序執(zhí)行的第一條指令的位置需要的參數(shù)是（）A、BaseOfCode+AddressOfEntryPointBaseOfData+AddressOfEntryPointC、ImageBase+AddressOfEntryPointD、ImageBase+BaseOfCode【正確答案】：C64.微軟漏洞分級(jí)中，“利用漏洞此類漏洞，Internet蠕蟲不需要用戶操作即可傳播”，評(píng)級(jí)為（）A、嚴(yán)重B、重要C、中等D、低【正確答案】：A65.在CERT安全編碼的建議中，以下說法正確的是（）A、驗(yàn)證輸入就是對(duì)用戶的文件進(jìn)行驗(yàn)證B、保持簡(jiǎn)單性與減少軟件被攻擊面原則相背離C、輸入驗(yàn)證后再次凈化數(shù)據(jù)是縱深防御的體現(xiàn)D、對(duì)編譯器提出的部分警告，可以暫不處理【正確答案】：C66.下面對(duì)于CNNV的D漏洞分級(jí)，描述正確的是（）A、漏洞分為嚴(yán)重、重要、中等和低四級(jí)B、分級(jí)依據(jù)是基本度量、時(shí)間度量和環(huán)境度量C、漏洞分為超危、高危、中危和低危4種等級(jí)D、主要是根據(jù)漏洞影響程度來分級(jí)【正確答案】：C67.在代碼靜態(tài)分析采用的技術(shù)中，判斷源程序結(jié)構(gòu)上是否正確，通過使用上下文無關(guān)語法將相關(guān)符合整理為語法樹，這屬于（）A、詞法分析B、語法分析C、抽象語法樹分析D、語義分析【正確答案】：B68.在安全開發(fā)模型中，為軟件安全開發(fā)提供了一個(gè)開放的框架，軟件企業(yè)可參考它來衡量其軟件安全保障計(jì)劃，制定軟件開發(fā)安全策略，創(chuàng)建明確定義和可衡量的目標(biāo)，并循序漸進(jìn)第改善軟件開發(fā)過程。這種模型是（）A、SDLBSICLASPD、SAMM【正確答案】：D69.在瀑布模型的每一個(gè)開發(fā)階段前引入非常嚴(yán)格的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)控制的軟件開發(fā)模型是（）A、快速原型模型B、增量模型C、螺旋模型D、Rational統(tǒng)一過程【正確答案】：C70.以下哪個(gè)工具提供攔截和修改HTTP數(shù)據(jù)包的功能（）A、BurpsuiteB、HacckbarC、sqlmapD、nmap【正確答案】：A71.MSSQL數(shù)據(jù)庫的默認(rèn)端口是哪個(gè)（）A、1433B、3306C、1521D、6379【正確答案】：A72.以下關(guān)于定級(jí)工作說法不正確的是（）A、確定定級(jí)對(duì)象過程中，定級(jí)對(duì)象是指以下內(nèi)容：起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、外網(wǎng)、內(nèi)網(wǎng)網(wǎng)管系統(tǒng)）以及用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的的各類業(yè)務(wù)系統(tǒng)。B、確定網(wǎng)絡(luò)安全保護(hù)等級(jí)僅僅是指確定信息系統(tǒng)屬于五個(gè)等級(jí)中的哪一個(gè)C、在定級(jí)工作中同類信息系統(tǒng)的安全保護(hù)等級(jí)不能隨著部、省、市行政級(jí)別的降低而降低D、新建系統(tǒng)在規(guī)劃設(shè)計(jì)階段，應(yīng)確定等級(jí)，按照信息系統(tǒng)等級(jí)，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全保護(hù)技術(shù)措施和管理措施。【正確答案】：A73.在安全設(shè)計(jì)原則中，要求每一次訪問受保護(hù)對(duì)象的行為都應(yīng)當(dāng)盡可能進(jìn)行細(xì)粒度檢查，這是（）A、最小權(quán)限原則B、權(quán)限分離原則C、安全控制原則D、縱深防御原則【正確答案】：C74.下列哪個(gè)函數(shù)不能導(dǎo)致遠(yuǎn)程命令執(zhí)行漏洞（）A、system()B、isset()C、eval()D、exec()【正確答案】：B75.破壞信息的完整性的攻擊模式是（）A、中斷B、截取C、修改D、捏造【正確答案】：C76.軟件喪失完成規(guī)定功能的能力的事件，屬于（）A、軟件錯(cuò)誤B、軟件缺陷C、軟件故障D、軟件失效【正確答案】：D77.以下對(duì)VA和VRA的描述不正確的是（）A、RVA=VA+ImageBaseB、RVA，是一個(gè)相對(duì)于可執(zhí)行文件映射到內(nèi)存的基地址的偏移量C、VA，是可執(zhí)行文件在虛擬內(nèi)存中的實(shí)際內(nèi)存地址D、VA=RVA+ImageBase【正確答案】：A78.在MySQL數(shù)據(jù)庫，下列哪個(gè)保存了MySQL所有的信息（）A、testB、information_schemaC、performance_schemaD、mysql【正確答案】：B79.能將HTML文檔從Web服務(wù)器傳送到Web瀏覽器的傳輸協(xié)議是（）A、FTPB、HCMPC、HTTPD、ping【正確答案】：C80.由于頻繁出現(xiàn)軟件運(yùn)行時(shí)被黑客遠(yuǎn)程攻擊獲取數(shù)據(jù)的現(xiàn)象，某軟件公司準(zhǔn)備加強(qiáng)軟件安全開發(fā)管理，在下面做法中，對(duì)于解決問題沒有直接幫助的是()。A、要求所有的開發(fā)人員參加軟件安全開發(fā)只是培訓(xùn)B、要求統(tǒng)一采用Windows8系統(tǒng)進(jìn)行開發(fā)，不能采用之前的Windows版本C、要求增加軟件源代碼審核環(huán)境，加強(qiáng)對(duì)軟件的安全性審查D、要求邀請(qǐng)專業(yè)隊(duì)伍進(jìn)行第三方安全性測(cè)試，盡量從多角度發(fā)現(xiàn)軟件安全問題【正確答案】：B81.Windows安全漏洞保護(hù)技術(shù)中，調(diào)用函數(shù)時(shí)將一個(gè)隨機(jī)生成的秘密值存放在棧上，當(dāng)函數(shù)返回時(shí)，檢查該秘密值是否被修改，從而判斷是否發(fā)生了棧溢出，這時(shí)（）A、/GS保護(hù)機(jī)制B、數(shù)據(jù)執(zhí)行保護(hù)DEPC、地址空間布局隨機(jī)化ASLRD、安全結(jié)構(gòu)化異常處理SafeSEH【正確答案】：A82.在SDL模型中，實(shí)施創(chuàng)建質(zhì)量門/缺陷（BUG）等級(jí)的安全活動(dòng)，屬于（）A、第1階段安全培訓(xùn)B、第2階段安全需求分析C、第3階段安全設(shè)計(jì)D、第4階段安全實(shí)施【正確答案】：B83.下面哪一項(xiàng)不是軟件架構(gòu)的類型（）A、邏輯架構(gòu)B、物理架構(gòu)C、系統(tǒng)架構(gòu)D、界面接口【正確答案】：D84.下列哪個(gè)是自動(dòng)化SQL注入工具（）A、nmapB、nessusC、msfD、sqlmap【正確答案】：D85.下列對(duì)跨站腳本攻擊（XSS）的解釋最準(zhǔn)確的是（）A、引誘用戶點(diǎn)擊虛擬網(wǎng)絡(luò)連接的一種攻擊方法B、構(gòu)造精妙的關(guān)系數(shù)據(jù)庫的結(jié)構(gòu)化查詢語言對(duì)數(shù)據(jù)庫進(jìn)行非法訪問C、一種很強(qiáng)大的木馬攻擊手段D、將惡意代碼嵌入到用戶瀏覽器的Web頁面中，從而達(dá)到惡意的目的【正確答案】：D86.破壞信息的可用性的攻擊模式是（）A、中斷B、截取C、修改D、捏造【正確答案】：A87.下面哪種方法無法對(duì)抗/GS保護(hù)。()A、猜測(cè)Cookie值B、利用ret-to-libc執(zhí)行命令或進(jìn)行API調(diào)用。C、同時(shí)替換棧中的Cookie和Cookie副本D、覆蓋SEH繞過Cookie檢查【正確答案】：B88.在PE文件的節(jié)中包含有從其它DLL中引入的函數(shù)的節(jié)是（）。A、代碼節(jié)B、引入函數(shù)節(jié)C、引出函數(shù)節(jié)D、資源節(jié)【正確答案】：B89.以下密碼算法是對(duì)稱加密算法的是（）A、SM1B、SM2C、SM3D、SM9【正確答案】：A90.下面哪種方法可以繞過地址空間布局隨機(jī)化ASLR機(jī)制（）A、利用沒有采用/DYNAMICBASE選項(xiàng)保護(hù)的模塊作跳板B、先嘗試關(guān)閉當(dāng)前進(jìn)程的DEP保護(hù)，然后再運(yùn)行ShellcodeC、將包含Shellcode的內(nèi)存頁面標(biāo)記為可執(zhí)行，然后再跳過去執(zhí)行D、通過分配可執(zhí)行內(nèi)存，再將Shellcode復(fù)制到內(nèi)存區(qū)域，然后跳過去執(zhí)行【正確答案】：A91.某單位系統(tǒng)管理員對(duì)組織內(nèi)核心資源的訪問制定訪問策略，針對(duì)每個(gè)用戶指明能夠訪問的資源，對(duì)于不在指定資源列表中的對(duì)象不允許訪問，該訪問控制策略屬于以下哪一種()A、強(qiáng)制訪問控制B、基于角色的訪問控制C、自主訪問控制D、基于任務(wù)的訪問控制【正確答案】：C92.某公司在互聯(lián)網(wǎng)區(qū)域新建了一個(gè)WEB網(wǎng)站，為了保護(hù)該網(wǎng)站安全性，尤其是不能讓攻擊者修改主頁內(nèi)容，該公司應(yīng)當(dāng)購買并部署下面哪個(gè)設(shè)備()A、負(fù)載均衡設(shè)備B、網(wǎng)頁防篡改系統(tǒng)C、網(wǎng)絡(luò)防病毒系統(tǒng)D、網(wǎng)絡(luò)審計(jì)系統(tǒng)【正確答案】：B93.在軟件開發(fā)過程中出現(xiàn)的不符合期望或不可接受的人為差錯(cuò)，其結(jié)果將可能導(dǎo)致軟件缺陷的產(chǎn)生，屬于（）A、軟件錯(cuò)誤B、軟件缺陷C、軟件故障D、軟件失效【正確答案】：A94.以用戶需求為動(dòng)力，以對(duì)象為驅(qū)動(dòng)的軟件開發(fā)模型是（）A、增量模型B、螺旋模型C、噴泉模型D、極限編程【正確答案】：C95.將超級(jí)用戶的權(quán)限劃分為一組細(xì)粒度的權(quán)限，分別授予不同的系統(tǒng)操作員，這符合（）A、減少軟件攻擊面原則B、最小授權(quán)原則C、權(quán)限分離原則D、縱深防御原則【正確答案】：B96.下面對(duì)軟件漏洞的認(rèn)識(shí)描述錯(cuò)誤的是（）。A、漏洞是信息系統(tǒng)自身具有的弱點(diǎn)或者缺陷B、漏洞存在環(huán)境通常是特定的C、漏洞具有可利用性，若攻擊者利用了這些漏洞，將會(huì)給信息系統(tǒng)安全帶來嚴(yán)重威脅和經(jīng)濟(jì)損失D、漏洞是攻擊者加之于信息系統(tǒng)的，沒有攻擊者就沒有漏洞【正確答案】：D97.利用沒有采用/DYNAMICBASE選項(xiàng)保護(hù)的模塊作跳板，可以繞開Windows安全漏洞保護(hù)技術(shù)的是（）A、安全結(jié)構(gòu)化異常處理SafeSEHB、地址空間布局隨機(jī)化ASLRC、數(shù)據(jù)執(zhí)行保護(hù)DEPD、/GS保護(hù)機(jī)制【正確答案】：B98.用于定級(jí)的標(biāo)準(zhǔn)是（）A、GA/T1389-2017B、GA/T1390-2017C、GB17859-1999D、公通字【2007】861號(hào)【正確答案】：A99.在使用預(yù)處理語句和存儲(chǔ)過程的同時(shí)應(yīng)用輸入驗(yàn)證功能，不允許使用用戶輸入的動(dòng)態(tài)查詢結(jié)構(gòu)，以防止注入攻擊，這符合（）A、最小權(quán)限原則B、權(quán)限分離原則C、縱深防御原則D、完全控制原則【正確答案】：C100.測(cè)試軟件能夠達(dá)到預(yù)期使用目的的程度屬于（）A、可用性測(cè)試B、可認(rèn)證性測(cè)試C、完整性測(cè)試D、保密性測(cè)試【正確答案】：A1.程序多樣性的主要方法是隨機(jī)化和混淆。（）A、正確B、錯(cuò)誤【正確答案】：A2.沙箱通常用于運(yùn)行一些疑似危險(xiǎn)樣本，從而可以隔離安全威脅，不能用來進(jìn)行惡意軟件分析。（）A、正確B、錯(cuò)誤【正確答案】：B3.威脅建模是安全設(shè)計(jì)階段才使用的方法。（）A、正確B、錯(cuò)誤【正確答案】：B4.SEH覆蓋方法就是覆蓋異常處理程序地址的一種攻擊方式。A、正確B、錯(cuò)誤【正確答案】：A5.若裝載器不是把程序裝到程序編譯時(shí)默認(rèn)的基地址時(shí)，就需要重定位節(jié)來做一些調(diào)整（）A、正確B、錯(cuò)誤【正確答案】：A6.C語言是安全的編程語言。（）A、正確B、錯(cuò)誤【正確答案】：B7.IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)的OriginalFirstThunk與FirstThunk字段所指向的位置永遠(yuǎn)是一樣的（）A、正確B、錯(cuò)誤【正確答案】：B8.PE文件代碼節(jié)的屬性一般是60000020h，也就是可執(zhí)行、可讀和“節(jié)中包含代碼”（）A、正確B、錯(cuò)誤【正確答案】：A9.利用ret-to-libc技術(shù)可以繞過棧溢出檢查（GS）保護(hù)機(jī)制。（）A、正確B、錯(cuò)誤【正確答案】：B10.PE文件在內(nèi)存中所占空間與文件大小一致。（）A、正確B、錯(cuò)誤【正確答案】：B11.漏洞是信息系統(tǒng)所處的環(huán)境具有的弱點(diǎn)或者缺陷。（）A、正確B、錯(cuò)誤【正確答案】：B12.軟件漏洞是軟件缺陷，軟件缺陷不一定是軟件漏洞。（）A、正確B、錯(cuò)誤【正確答案】：A13.模糊測(cè)試是動(dòng)態(tài)實(shí)際執(zhí)行的，不存在靜態(tài)分析技術(shù)中存在的大量誤報(bào)問題。()A、正確B、錯(cuò)誤【正確答案】：A14.Java語言層的安全機(jī)制是Java安全最基本的要素，它使建立安全系統(tǒng)成為可能，這些機(jī)制保證了“沙箱”的可定制性。（）A、正確B、錯(cuò)誤【正確答案】：B15.支撐軟件屬于應(yīng)用軟件。（）A、正確B、錯(cuò)誤【正確答案】：B16.黑盒測(cè)試可以分為功能測(cè)試和源代碼分析。（）A、正確B、錯(cuò)誤【正確答案】：B解析：

功能測(cè)試:邏輯功能測(cè)試、界面功能測(cè)試、易用性測(cè)試、安裝測(cè)試、兼容性測(cè)試性能測(cè)試:時(shí)間性能、空間性能、一般性能、穩(wěn)定性、負(fù)載測(cè)試、壓力測(cè)試17.版本（配置）管理就是在軟件開發(fā)過程中源代碼的控制。（）A、正確B、錯(cuò)誤【正確答案】：B18.CVE（通用漏洞和披露）是一個(gè)漏洞的數(shù)據(jù)庫，從中可以找到所有出現(xiàn)的漏洞。（）A、正確B、錯(cuò)誤【正確答案】：B19.(,3分)軟件錯(cuò)誤是存在軟件產(chǎn)品中的不希望或者不可接受的偏差。（）A、正確B、錯(cuò)誤【正確答案】：B20.軟件=數(shù)據(jù)結(jié)構(gòu)（Inside）+算法+數(shù)據(jù)（Outside）+文檔。（）A、正確B、錯(cuò)誤【正確答案】：A21.軟件安全就是使軟件在受到惡意攻擊的情形下依然能夠繼續(xù)正確運(yùn)行的工程化軟件思想。（）A、正確B、錯(cuò)誤【正確答案】：A22.基于安全模式的軟件安全設(shè)計(jì)方法過程可以分為瀏覽模式庫、選擇相應(yīng)的安全模式、評(píng)估安全模式和建立系統(tǒng)高層架構(gòu)4個(gè)階段。A、正確B、錯(cuò)誤【正確答案】：B23.軟件漏洞指計(jì)算機(jī)軟件或程序中存在的某種破壞正常運(yùn)行能力的問題、錯(cuò)誤，或者隱藏的功能缺陷。（）A、正確B、錯(cuò)誤【正確答案】：B24.劫持程序執(zhí)行流程，轉(zhuǎn)向執(zhí)行攻擊者指定的任意指令或命令，控制應(yīng)用系統(tǒng)或操作系統(tǒng)，其主要來源為輸入驗(yàn)證類和配置錯(cuò)誤類漏洞。（）A、正確B、錯(cuò)誤【正確答案】：B25.PE文件引入函數(shù)節(jié)開始是一個(gè)成員為IMAGE_IMPORT_DESCRIPTOR結(jié)構(gòu)的數(shù)組，這個(gè)數(shù)組的長(zhǎng)度是固定的（）A、正確B、錯(cuò)誤【正確答案】：B26.組織自身的威脅建模能力水平對(duì)提升組織的整體安全保障能力作用不大。（）A、正確B、錯(cuò)誤【正確答案】：B27.軟件測(cè)試的目的是為了表明程序是正確的。（）A、正確B、錯(cuò)誤【正確答案】：B28.映像文件頭中包含有PE文件的優(yōu)先裝載地址（）A、正確B、錯(cuò)誤【正確答案】：B解析：

可選文件頭中包含有PE文件的優(yōu)先裝載地址29.PE文件的引入函數(shù)節(jié)包含有從其它DLL中引入的函數(shù)（）A、正確B、錯(cuò)誤【正確答案】：A30.軟件是由計(jì)算機(jī)程序、方法、規(guī)則、相關(guān)文檔，但不包括運(yùn)行時(shí)需要的數(shù)據(jù)。（）A、正確B、錯(cuò)誤【正確答案】：B31.編碼時(shí)應(yīng)盡量返回給客戶與業(yè)務(wù)處理相關(guān)的信息，禁止把無關(guān)信息返回給用戶，避免信息外泄。（）A、正確B、錯(cuò)誤【正確答案】：B解析：

編碼時(shí)應(yīng)限制返回給客戶與業(yè)務(wù)處理無關(guān)的信息，禁止把重點(diǎn)保護(hù)數(shù)據(jù)返回給不信任的用戶，避免信息外泄。32.PE文件的資源節(jié)存放的在編譯時(shí)刻已經(jīng)確定的數(shù)據(jù)（）A、正確B、錯(cuò)誤【正確答案】：B33.DEP對(duì)軟件的保護(hù)行為與操作系統(tǒng)和ServicePack版本沒有關(guān)系。()A、正確B、錯(cuò)誤【正確答案】：B34.在時(shí)間維度上，漏洞都會(huì)經(jīng)歷產(chǎn)生、發(fā)現(xiàn)、公開和消亡等過程。（）A、正確B、錯(cuò)誤【正確答案】：A35.軟件測(cè)試是從攻擊者的角度出發(fā)發(fā)現(xiàn)漏洞并修復(fù)，保證軟件不被惡意攻擊這攻破。（）A、正確B、錯(cuò)誤【正確答案】：B36.軟件缺陷就是軟件漏洞，但軟件漏洞不一定是軟件缺陷。（）A、正確B、錯(cuò)誤【正確答案】：B37.漏洞存在是與環(huán)境無關(guān)的。（）A、正確B、錯(cuò)誤【正確答案】：B38.滲透攻擊階段以特定業(yè)務(wù)系統(tǒng)為目標(biāo)，找到用戶最需要保護(hù)的資產(chǎn)，這就需要從一個(gè)系統(tǒng)攻入另一個(gè)系統(tǒng)，判斷系統(tǒng)的作用。（）A、正確B、錯(cuò)誤【正確答案】：B39.零日（0day）漏洞是指軟件發(fā)布后被立刻發(fā)現(xiàn)的漏洞。（）A、正確B、錯(cuò)誤【正確答案】：B40.未初始化的全局變量和靜態(tài)變量，一般存放在名稱為.data的節(jié)中（）A、正確B、錯(cuò)誤【正確答案】：B41.堆和棧都是一種在程序運(yùn)行時(shí)動(dòng)態(tài)分配的內(nèi)存，是由系統(tǒng)自動(dòng)分配和回收的。A、正確B、錯(cuò)誤【正確答案】：B42.在威脅排序的集中計(jì)算方法中，概率*影響因子排序方法是更科學(xué)的。（）A、正確B、錯(cuò)誤【正確答案】：A43.軟件錯(cuò)誤就是軟件漏洞。（）A、正確B、錯(cuò)誤【正確答案】：B44.配置和執(zhí)行一個(gè)程序應(yīng)該盡肯能簡(jiǎn)單和直觀，輸出應(yīng)該直接而且有用。這是符合安全機(jī)制心理可接受原則。（）A、正確B、錯(cuò)誤【正確答案】：A45.未被公布、未被修復(fù)的漏洞被稱為nday漏洞。（）A、正確B、錯(cuò)誤【正確答案】：B46.漏洞具有可利用行，若攻擊者利用了這些漏洞，將會(huì)給信息系統(tǒng)安全帶來嚴(yán)重威脅和經(jīng)濟(jì)損失。（）A、正確B、錯(cuò)誤【正確答案】：A47.密鑰的存儲(chǔ)需要被保護(hù)，最好與數(shù)據(jù)保存在同一個(gè)系統(tǒng)上。（）A、正確B、錯(cuò)誤【正確答案】：B48.調(diào)用函數(shù)時(shí)將一個(gè)隨機(jī)生成的秘密值存放在棧上，當(dāng)函數(shù)返回時(shí)，檢查這個(gè)堆棧的這個(gè)值是否被修改，以此判斷是否發(fā)生了棧溢出，這是Windows的DEP保護(hù)機(jī)制。（）A、正確B、錯(cuò)誤【正確答案】：B解析：/GS49.節(jié)表中每一項(xiàng)的大小是16字節(jié)（）A、正確B、錯(cuò)誤【正確答案】：B50.代碼靜態(tài)分析結(jié)果顯示和編譯結(jié)果都沒有任何錯(cuò)誤，則意味著程序能夠沒有任何錯(cuò)誤地運(yùn)行。（）A、正確B、錯(cuò)誤【正確答案】：B填空題1.為了獲得高質(zhì)量軟件所需要完成的一系列任務(wù)的框架，同時(shí)規(guī)定了完成各項(xiàng)任務(wù)的工作步驟，稱為__。【正確答案】：軟件過程2.靜態(tài)分析工具可以分為三類：（）、字節(jié)碼掃描器和二進(jìn)制代碼分析器?！菊_答案】：源代碼分析器3.重要性低的功能可取消，這是符合_______原則?！菊_答案】：減少軟件受攻擊面4.在SAMM模型中，面向安全保證的4個(gè)核心業(yè)務(wù)職能