分享到微信
信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6
往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class/27/e6_1.html
信息安全工程师案例分析每日一练试题(2024/3/21)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2024/3/21
点击查看:更多信息安全工程师习题与指导
信息安全工程师案例分析每日一练试题内容(2024/3/21)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中,由于C语言自身语法的一些特性,很容易出现各种安全漏洞。因此,应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项,减少出现漏洞的可能性。
【问题1】(4分)
图5-1给出了一段有漏洞的C语言代码(注:行首数字是代码行号),请问,上述代码存在哪种类型的安全漏洞?该漏洞和C语言数组的哪一个特性有关?
【问题2】(4分)
图5-2给出了C程序的典型内存布局,请回答如下问题。
(1)请问图5-1的代码中第9行的变量authenticated保存在图5-2所示的哪个区域中?
(2)请问stack的两个典型操作是什么?
(3)在图5-2中的stack区域保存数撕时, 其地址增长方向是往高地址还是往低地址更高?
(4)对于图5-1代码中的第9行和第10行代码的两个变量,哪个变量对应的内存地
【问题3】(6分)
微软的Visual Studio提供了很多安全相关的编译选项, 图5-3给出了图5-1中代码相关的工程属性页而的截图。请回答以下问题。
(1)请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?
(2)如果把图5-1中第10行代码改为char buffer[4];图5-3的安全编译选项是否还起作用?
(3)模糊测试是否可以检测出上述代码的安全漏洞?
信管网试题答案与解析:www.cnitpm.com/st/502465698.html
信管网考友试题答案分享:
信管网jiangliyo:
1.缓冲区(栈)溢出。不对数组越界进行检查。
2.stack,push(入栈)、pop(弹栈),高地址,第9行
3.enable security check(/gs),不起作用,可以检测出漏洞
信管网cnitpm652693530860:
<br /><img src="http://pic.cnitpm.com/upload/2023/11/tbimg/11-01/1698822315.jpg" />
信管网cnitpm682124346788:
1. 缓冲区溢出漏洞 数组没有越界检查
2. stack
push 入栈
pop 出栈
往低地址增长
buff
au
3. gs
有作用
可以
信管网订阅号
信管网视频号
信管网抖音号
温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!
信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。
信管网软考课程由信管网依托10年专业软考教研倾力打造,教材和资料参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。
相关内容
| 发表评论 查看完整评论 | |
考试新手指南
学习计划攻略
精华备考资料
案例论文干货
章节模拟试题
免费试听课程
考试信息推送