信息安全工程师易错题精讲二 - 试题库

当前位置：信管网 >> 信息安全工程师 >> 试题库 >> 文章内容

信息安全工程师易错题精讲二

来源：信管网 2020年05月21日【所有评论】

1、下面哪一个不是对点击劫持的描述（）

A.是一种恶意攻击技术，用于跟踪网络用户并获取私密信息

B.通过让用户来点击看似正常的网页来远程控制其电脑

C.可以用嵌入代码或文本的形式出现，在用户毫不知情的情况下完成攻击

D.可以对方网络瘫痪

信管网解析:

点击劫持，clickjacking，也被称为UI-覆盖攻击。这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。

它是通过覆盖不可见的框架误导受害者点击。

虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。

这种攻击利用了HTML中标签的透明属性。 1、点击劫持是一种恶意攻击技术，用于跟踪网络用户，获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。 2、点击劫持技术可以用嵌入代码或者文本的形式出现，在用户毫不知情的情况下完成攻击，比如点击一个表面显示是“播放”某个视频的按钮，而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。 3、点击劫持这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的，这个词其实是“点击”（click）和“劫持”（hijacking）两个词组合而成的。 信管网参考答案：D 2、When reviewing an active project, an IS auditor observed that, because of a reduction in anticipated benefits and increased costs, the business case was no longer valid. The IS auditor should recommend that the: A、project be discontinued. B、business case be updated and possible corrective actions be identified. C、project be returned to the project sponsor for reapproval. D、project be completed and the business case be updated later. 信管网参考解析： 评估一个正在进行的项目，信息系统审计员注意到，因为减少预期的利益及增加成本，这个业务需求不再有效。信息系统审计员应该建议： A.项目不应该再继续。 B.业务需求应该更新并作相应的修正 C.项目应该让赞助者重新批准 D.项目应该完成，业务需求随后更新。 注意：一个是审核员不应建议停止或完成项目审查之前更新的商业案例。审核员应该建议在整个项目中保持业务情况，因为它是整个项目生命周期的关键输入。 信管网参考答案：B