單項(xiàng)選擇題某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件,出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況,經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮,在瀏覽時(shí)使用Http協(xié)議,攻擊者通過偽造數(shù)據(jù)包使得向購(gòu)物車添加商品的價(jià)格被修改。利用此漏洞,攻擊者將價(jià)值1000元的商品以1元添加到購(gòu)物車中,而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié),導(dǎo)致以上問題,對(duì)于網(wǎng)站的這個(gè)問題原因分析及解決措施。最正確的說法應(yīng)該是()

A.該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的,為了避免再發(fā)生類似的問題,應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造,所有的訪問都強(qiáng)制要求使用https
B.該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位,沒有找到該威脅并采取相應(yīng)的消減措施
C.該問題的產(chǎn)生是由于編碼缺陷,通過對(duì)網(wǎng)站進(jìn)行修改,在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決
D.該問題的產(chǎn)生不是網(wǎng)站的問題,應(yīng)報(bào)警要求尋求警察介入,嚴(yán)懲攻擊者即可


您可能感興趣的試卷

你可能感興趣的試題

2.單項(xiàng)選擇題某集團(tuán)公司根據(jù)業(yè)務(wù)需要,在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全,集團(tuán)總部要求前置機(jī)開放日志共享,由總部服務(wù)器采集進(jìn)行集中分析,在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志,從而導(dǎo)致部分敏感信息泄露,根據(jù)降低攻擊面的原則,應(yīng)采取以下哪項(xiàng)處理措施?()

A.由于共享導(dǎo)致了安全問題,應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析
B.為配合總部的安全策略,會(huì)帶來一定的安全問題,但不影響系統(tǒng)使用,因此接受此風(fēng)險(xiǎn)
C.日志的存在就是安全風(fēng)險(xiǎn),最好的辦法就是取消日志,通過設(shè)置讓前置機(jī)不記錄日志
D.只允許特定的IP地址從前置機(jī)提取日志,對(duì)日志共享設(shè)置訪問密碼且限定訪問的時(shí)間

3.單項(xiàng)選擇題某單位根據(jù)業(yè)務(wù)需要準(zhǔn)備立項(xiàng)開發(fā)一個(gè)業(yè)務(wù)軟件,對(duì)于軟件開發(fā)安全投入經(jīng)費(fèi)研討時(shí)開發(fā)部門和信息中心就發(fā)生了分歧,開發(fā)部門認(rèn)為開發(fā)階段無需投入,軟件開發(fā)完成后發(fā)現(xiàn)問題后再針對(duì)性的解決,比前期安全投入要成本更低;信息中心則認(rèn)為應(yīng)在軟件安全開發(fā)階段投入,后期解決代價(jià)太大,雙方爭(zhēng)執(zhí)不下,作為信息安全專家,請(qǐng)選擇對(duì)軟件開發(fā)安全投入的準(zhǔn)確說法?()

A.信息中心的考慮是正確的,在軟件立項(xiàng)投入解決軟件安全問題,總體經(jīng)費(fèi)投入比軟件運(yùn)行后的費(fèi)用要低
B.軟件開發(fā)部門的說法是正確的,因?yàn)檐浖l(fā)現(xiàn)問題后更清楚問題所在,安排人員進(jìn)行代碼修訂更簡(jiǎn)單,因此費(fèi)用更低
C.雙方的說法都正確,需要根據(jù)具體情況分析是開發(fā)階段投入解決問題還是在上線后再解決問題費(fèi)用更低
D.雙方的說法都錯(cuò)誤,軟件安全問題在任何時(shí)候投入解決都可以,只要是一樣的問題,解決的代價(jià)相同

4.單項(xiàng)選擇題某單位計(jì)劃在今年開發(fā)一套辦公自動(dòng)化(OA)系統(tǒng),將集團(tuán)公司各地的機(jī)構(gòu)通過互聯(lián)網(wǎng)進(jìn)行協(xié)同辦公,在OA系統(tǒng)的設(shè)計(jì)方案評(píng)審會(huì)上,提出了不少安全開發(fā)的建議,作為安全專家,請(qǐng)指出大家提的建議中不太合適的一條?()

A.對(duì)軟件開發(fā)商提出安全相關(guān)要求,確保軟件開發(fā)商對(duì)安全足夠的重視,投入資源解決軟件安全問題
B.要求軟件開發(fā)人員進(jìn)行安全開發(fā)培訓(xùn),使開發(fā)人員掌握基本軟件安全開發(fā)知識(shí)
C.要求軟件開發(fā)商使用Java而不是ASP作為開發(fā)語言,避免產(chǎn)生SQL注入漏洞
D.要求軟件開發(fā)商對(duì)軟件進(jìn)行模塊化設(shè)計(jì),各模塊明確輸入和輸出數(shù)據(jù)格式,并在使用前對(duì)輸入數(shù)據(jù)進(jìn)行校驗(yàn)

5.單項(xiàng)選擇題最小特權(quán)是軟件安全設(shè)計(jì)的基本原則,某應(yīng)用程序在設(shè)計(jì)時(shí),設(shè)計(jì)人員給出了以下四種策略,其中有一個(gè)違反了最小特權(quán)的原則,作為評(píng)審專家,請(qǐng)指出是哪一個(gè)?()

A.軟件在Linux下按照時(shí),設(shè)定運(yùn)行時(shí)使用nobody用戶運(yùn)行實(shí)例
B.軟件的日志備份模塊由于需要備份所有數(shù)據(jù)庫數(shù)據(jù),在備份模塊運(yùn)行時(shí),以數(shù)據(jù)庫備份操作員賬號(hào)連接數(shù)據(jù)庫
C.軟件的日志模塊由于要向數(shù)據(jù)庫中的日志表中寫入日志信息,使用了一個(gè)日志用戶賬號(hào)連接數(shù)據(jù)庫,該賬號(hào)僅對(duì)日志表擁有權(quán)限
D.為了保證軟件在Windows下能穩(wěn)定的運(yùn)行,設(shè)定運(yùn)行權(quán)限為system,確保系統(tǒng)運(yùn)行正常,不會(huì)因?yàn)闄?quán)限不足產(chǎn)生運(yùn)行錯(cuò)誤