- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
保密注册信息安全专业人员考试章节练习题
注册信息安全专业人员考试
章节练习题
(软件开发安全)
1.下列关于软件安全开发中的BSI(BuildSecurityIn)系列模型说法错误的是()
A、BIS含义是指将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外
B、软件安全的三根支柱是风险管理、软件安全触点和安全测试
C、软件安全触点是软件开发生命周期中一套轻量级最优工程化方法,它提供了从不同角度保障安全的行为
方式
D、BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安
全作为软件的一个有机组成部分
2.模糊测试,也称Fuzz测试,是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下面
描述正确的是()
A、模糊测试本质上属于黑盒测试
B、模糊测试本质上属于白盒测试
C、模糊测试有时属于黑盒测试,有时属于白盒测试,取决于其使用的测试方法
D、模糊测试既不属于黑盒测试,也不属于白盒测试
3.下面有关软件安全问题的描述中,哪项应是由于软件设计缺陷引起的()
A.设计了三层WEB架构,但是软件存在SQL注入漏洞,导致被黑客攻击后直接访问数据库
B.使用C语言开发时,采用了一些存在安全问题的字符串处理函数,导致存在缓冲区溢出漏洞
C.设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私
数据
D.使用了符合要求的密码算法,但在使用算法接口时,没有按照要求生成密钥,导致黑客攻击后能破解并得
到明文数据
4.最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个
违反了最小特权的原则,作为评审专家,请指出是哪一个?
A.软件在Linux下按照时,设定运行时使用nobody用户运行实例
B.软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数
据库
C.软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账
号仅对日志表拥有权限
D.为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权
限不足产生运行错误
5.某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分
析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的
价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的
环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是?
-1-
保密注册信息安全专业人员考试章节练习题
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,
所有的访问都强制要求使用https
B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相
应的消减措施
C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
6.关于源代码审核,下列说法正确的是:
A.人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点
B.源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之
处
C.使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核
D.源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
7.以下说法正确的是:
A.验收测试是由承建方和用户按照用户使用手册执行软件验收
B.软件测试的目的是为了验证软件功能是否正确
C.监理工程师应按照有关标准审查提交的测试计划,并提出审查意见
D.软件测试计划开始于软件设计阶段,完成于软件开发阶段
8.微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项安全要求下面描述错误的是
A
您可能关注的文档
- 网络安全监管_V4.2.pdf
- 物理与网络通信安全_V4.2.pdf
- 信息安全评估_V4.2.pdf
- 信息安全支撑技术_V4.2.pdf
- 课后练习-安全工程与运营1.2.pdf
- 课后练习-计算环境安全.pdf
- 课后练习-网络安全监管.pdf
- 课后练习-物理与网络通信安全.pdf
- 课后练习-信息安全保障.pdf
- 课后练习-信息安全管理1.1.pdf
- 中国行业标准 GM/T 0126-2023HTML密码应用置标语法.pdf
- 《JJF 2121-2024恒转速源校准规范》.pdf
- 餐饮服务中20条处理要点.docx
- 《GM/T 0011-2023可信计算 可信密码支撑平台功能与接口规范》.pdf
- 《JJF 2134-2024旋转流变仪校准规范》.pdf
- JJF 2121-2024恒转速源校准规范.pdf
- 计量规程规范 JJF 2121-2024恒转速源校准规范.pdf
- 《JJF 2118-2024压力式六氟化硫气体密度控制器校验仪校准规范》.pdf
- JJF 2134-2024旋转流变仪校准规范.pdf
- 计量规程规范 JJF 2134-2024旋转流变仪校准规范.pdf
最近下载
- 2011版课标“字表二 1000字“梳理.docx
- 电动吊篮安拆方案.doc VIP
- 2019中国消化道疾病检查白皮书(医疗).pdf
- 文心一言知识科普.pptx
- 2024年县民政局关于群众身边不正之风和腐败问题集中整治工作的形势分析报告.doc VIP
- 道路施工雨季安全培训.pptx
- (高质)《精神焦虑症的自救》.doc
- 港澳台联考语文满分作文.docx
- 单位办公室定密事项范围一览表式样.doc
- 理想 RISO 9050 7050 3050 7010 3010 闪彩印王中文技术维修手册 后面可以参考理想闪彩印王 EX7200 EX9050 EX9000 EX7250 系列中文维修手册 .pdf
文档评论(0)