课后练习-软件开发安全.pdf

保密注册信息安全专业人员考试章节练习题

注册信息安全专业人员考试

章节练习题

（软件开发安全）

1.下列关于软件安全开发中的BSI（BuildSecurityIn)系列模型说法错误的是（）

A、BIS含义是指将安全内建到软件开发过程中，而不是可有可无，更不是游离于软件开发生命周期之外

B、软件安全的三根支柱是风险管理、软件安全触点和安全测试

C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法，它提供了从不同角度保障安全的行为

方式

D、BSI系列模型强调应该使用工程化的方法来保证软件安全，即在整个软件开发生命周期中都要确保将安

全作为软件的一个有机组成部分

2.模糊测试，也称Fuzz测试，是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面

描述正确的是（）

A、模糊测试本质上属于黑盒测试

B、模糊测试本质上属于白盒测试

C、模糊测试有时属于黑盒测试，有时属于白盒测试，取决于其使用的测试方法

D、模糊测试既不属于黑盒测试，也不属于白盒测试

3.下面有关软件安全问题的描述中，哪项应是由于软件设计缺陷引起的（）

A.设计了三层WEB架构，但是软件存在SQL注入漏洞，导致被黑客攻击后直接访问数据库

B.使用C语言开发时，采用了一些存在安全问题的字符串处理函数，导致存在缓冲区溢出漏洞

C.设计了缓存用户隐私数据机制以加快系统处理性能，导致软件在发布运行后，被黑客攻击获取到用户隐私

数据

D.使用了符合要求的密码算法，但在使用算法接口时，没有按照要求生成密钥，导致黑客攻击后能破解并得

到明文数据

4.最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个

违反了最小特权的原则，作为评审专家，请指出是哪一个?

A.软件在Linux下按照时，设定运行时使用nobody用户运行实例

B.软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数

据库

C.软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账

号仅对日志表拥有权限

D.为了保证软件在Windows下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权

限不足产生运行错误

5.某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分

析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的

价格被修改．利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的

环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是?

-1-

保密注册信息安全专业人员考试章节练习题

A.该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，

所有的访问都强制要求使用https

B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相

应的消减措施

C.该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决

D.该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

6.关于源代码审核，下列说法正确的是：

A.人工审核源代码审校的效率低，但采用多人并行分析可以完全弥补这个缺点

B.源代码审核通过提供非预期的输入并监视异常结果来发现软件故障，从而定位可能导致安全弱点的薄弱之

处

C.使用工具进行源代码审核，速度快，准确率高，已经取代了传统的人工审核

D.源代码审核是对源代码检查分析，检测并报告源代码中可能导致安全弱点的薄弱之处

7.以下说法正确的是：

A.验收测试是由承建方和用户按照用户使用手册执行软件验收

B.软件测试的目的是为了验证软件功能是否正确

C.监理工程师应按照有关标准审查提交的测试计划，并提出审查意见

D.软件测试计划开始于软件设计阶段，完成于软件开发阶段

8.微软提出了STRIDE模型，其中R是Repudiation(抵赖)的缩写，关于此项安全要求下面描述错误的是

A