第1题：

Which of the following forms of evidence for the auditor would be considered the MOST reliable?

A、An oral statement from the auditee

B、The results of a test performed by an IS auditor

C、An internally generated computer accounting report

D、A confirmation letter received from an outside source

信管网参考答案：D

信管网参考解析：以下哪种形式的证据对审计员来讲更具可靠性？

A、被审计人员的口头陈诉

B、由IS审计师执行的测试结果

C、一份内部导出的计算机财务账目报告

D、从外部资源发来的确认信。

注：从外部来源获得的证据通常比组织内获得的更可靠。外部当事人收到的确认信，如用于核实应收账款余额的确认信，通常是高度可靠的。如果核数师对审核的技术领域没有很好的理解，审核员的测试可能不可靠。

第2题：

下面哪项属于软件开发安全方面的问题（）

A.软件部署时所需选用服务性能不高，导致软件执行效率低。

B.应用软件来考虑多线程技术，在对用户服务时按序排队提供服务

C.应用软件存在sol 注入漏洞，若被黑客利用能窃取数据库所用数据

D.软件受许可证（license）限制，不能在多台电脑上安装。

信管网参考答案：C

信管网参考答案：当应用程序使用输入内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。相关的sql注入可以通过测试工具pangolin进行。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。在某些表单中，用户输入的内容直接用来构造动态sql命令，或者作为存储过程的输入参数，这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当，使应用程序存在安全隐患。这样，用户就可以提交一段数据库查询的代码，根据程序返回的结果，获得一些敏感的信息或者控制整个服务器，于是sql注入就发生了。

c是来自软件开发方面的问题