信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题（2020/8/22）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/8/22

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2020/8/22）

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。
【说明】
在Internet 技术飞速演变、电子商务蓬勃发展的今天，开发的银多应用程序都是 Web应用程序，随着微信、微博、网上银行等一系列的新型的 Web 应用程序的诞生， Web应用越来越广泛。然而 Web 应用程序及 Web 站点往往很容易遭受各种各样的入侵， Web数据在网络传输过程中也银容易被窃取或盗用。如何能够使 Web 及数据传输更加安全，就显得尤为重要。
如今， Web 业务平台己经在电子商务、企业信息化中得到广泛应用，很多企业部将应用架设在 Web 平台上， Web 业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。
国际权威机构 Forrester 的统计数据表明， 67% 的攻击是通过应用层的攻击。即是，最简单的网页浏览也有可能造成威胁，比如，单击含有病毒的网址、隐秘的图片，或者，单击下载某些免费的软件、文件等，由于下载的软件或者文件中含有未知的恶意代码，当用户在运行程序或者打开这些文件时，恶意代码被启动就有可能造成用户个人信息丢失，甚至后台服务器系统出现漏洞给恶意攻击者窃取信息提供方便的大门。
【问题1】（5分）
开源 Web 应用安全项目 （OWASP） 是一个开放的社区组织。专注于讨论应用程序，代码开发的威胁讨论。 TOP 10项目的目标是通过找出企业组织所面临的最严重的十大风险来提高人们对应用程序安全的关注度。以下是其中罗列的十大最有可能发生的应用漏洞，将选项A-J正确对应到其括号内。
1、注入（  ）
2、失效的身份认证和会话管理（  ）
3、跨站脚本（XSS）（  ）
4、不安全的直接对象引用（  ）
5、安全配置错误（  ）
6、敏感信息泄露（  ）
7、功能级访问控制缺失（  ）
8、跨站请求伪造（CSRF）（  ）
9、使用更含有已知漏洞的组件（  ）
10、未验证的重定向和转发（  ）

A、如果一个带有漏洞的组件被利用，这种攻击可以造成更为严重的数据丢失或服务器接管，在应用程序中使用会破坏应用程序防御系统。
B、攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取，或其他犯罪。
C、Web 应用程序经常将用户重定向和转发到其他网页和网站，并且利用不可信的数据去判定目的页面。
D、迫使登录用户的浏览器将伪造的 HTTP 请求，包括该用户的会话 cookie 和其他认证信息，发送到一个存在漏洞的 Web 应用程序。
E、应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证，攻击者能够伪造请求以在未经适当授权时访问功能。
F、好的安全需要对应用程序、框架、应用程序服务器、 Web 服务器、数据库服务器和平台定义和执行安全配置。
G、攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素，欺骗数据库服务器执行非授权的任意查询。
H、攻击者通过在这种链接中插入恶意代码，当用户不小心单击这样带有恶意代码的链接时，其用户信息就有可能被攻击者盗取。
I、用户使用公共计算机浏览网站，登录验证身份之后，离开时没有退出账户而是选择直接关闭浏览器，使得下一个用户使用相同计算机浏览相同浏览器，可以看到上一个用户的对话。
J、作为授权的系统用户，攻击者只需要修改指向一个系统对象的直接引用参数值，让其指向另一个无权的对象。
【问题2】（2分）
SQL注入攻击有4个基本的特点：A、局限性，B、隐蔽性，C、攻击时间短，D、危害大。其中哪个错误的？（1分）应该是什么？（1分）
【问题3】（3分）
SQL注入攻击的危害性很大，应该从哪些方面来避免这种漏洞攻击？
【问题4】（5分）
如何防范跨站脚本（XSS）？（3分）如何防范跨站请求伪造（CSRF）？（2分）

信管网heizhao：
1）1g 2c/i 3h/d 4e/j 5f 6b 7i 8h/d 9a 10c 2）sql注入不包含局限性，除了url地址栏可以提交攻击任意一个参数都可以尝试。广泛性 3）防范sql注入需要1.对用户提交的参数进行验证。使用安全函数。2.更改服务器目录和操作系统配置， 调整文件运行权限，用最小特权原则。3.使用视图或者存储过程避免使用直接的语句。 4）防范xss需要：1.精心过滤用户输入，使用安全函数开发系统。2.用户输入需要转义，不执行，只显示 。3.使用waf监控网页内容。4.正确配置服务器。5.提示用户非本站内容告警。6.使用安全的浏览器，及 时打补丁。7.加强安全意识及时培训。 防范csrf：1.提高浏览器安全级别，识别js的执行。2.使用安全的浏览器并及时升级和操作系统打补丁。

信管网sun585：
gihdfbecaj

a 广泛性
1程序员加强自身水平 使用固定开发标准 2提交服务端处理之前对数据合法性进行检查 3封装客户端提交信息 4替换 删除敏感字符 字符串 5错误信息不返回给用户 6数据敏感信息非常规加密 防止信息外泄 7加强数据库检查 8不用字符串简历sql查询 使用sql变量 9注入防范系统 

信管网qsll：
g
d
h
a
f
i
e
j
a
c

信管网辽宁省锦州市联通考友：
g ； ；i ； ；d ； ；j ； ；f ； ；h ； ；b ；c ；a ；e

信管网sunstyle：
1g 2i 3h 4j 5f 6b 7e  8d 9a 10c

2 局限性  应该改为 广泛性

3 使用程序自带的的安全api。尽量规避或者杜绝使用解释器，也可以使用参数化的标准api。
加强身份认证