专业信息安全工程师网站|培训机构|服务商(2021信息安全工程师学习QQ群:327677606,客服QQ:800184589)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 每日一练 >> 文章内容
信息安全工程师案例分析每日一练试题(2021/5/7)
来源:信管网 2021年05月08日 【所有评论 分享到微信

信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题(2021/5/7)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/5/7

点击查看:更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容(2021/5/7)

4.阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
【说明】
在Internet 技术飞速演变、电子商务蓬勃发展的今天,开发的银多应用程序都是 Web应用程序,随着微信、微博、网上银行等一系列的新型的 Web 应用程序的诞生, Web应用越来越广泛。然而 Web 应用程序及 Web 站点往往很容易遭受各种各样的入侵, Web数据在网络传输过程中也银容易被窃取或盗用。如何能够使 Web 及数据传输更加安全,就显得尤为重要。
如今, Web 业务平台己经在电子商务、企业信息化中得到广泛应用,很多企业部将应用架设在 Web 平台上, Web 业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
国际权威机构 Forrester 的统计数据表明, 67% 的攻击是通过应用层的攻击。即是,最简单的网页浏览也有可能造成威胁,比如,单击含有病毒的网址、隐秘的图片,或者,单击下载某些免费的软件、文件等,由于下载的软件或者文件中含有未知的恶意代码,当用户在运行程序或者打开这些文件时,恶意代码被启动就有可能造成用户个人信息丢失,甚至后台服务器系统出现漏洞给恶意攻击者窃取信息提供方便的大门。
【问题1】(5分)
开源 Web 应用安全项目 (OWASP) 是一个开放的社区组织。专注于讨论应用程序,代码开发的威胁讨论。 TOP 10项目的目标是通过找出企业组织所面临的最严重的十大风险来提高人们对应用程序安全的关注度。以下是其中罗列的十大最有可能发生的应用漏洞,将选项A-J正确对应到其括号内。
1、注入(  ) 
2、失效的身份认证和会话管理()
3、跨站脚本(XSS)( ) 
4、不安全的直接对象引用(  )
5、安全配置错误(  ) 
6、敏感信息泄露( )
7、功能级访问控制缺失(  ) 
8、跨站请求伪造(CSRF)(  )
9、使用更含有已知漏洞的组件(  ) 
10、未验证的重定向和转发(  )
A、如果一个带有漏洞的组件被利用,这种攻击可以造成更为严重的数据丢失或服务器接管,在应用程序中使用会破坏应用程序防御系统。
B、攻击者可能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取,或其他犯罪。
C、Web 应用程序经常将用户重定向和转发到其他网页和网站,并且利用不可信的数据去判定目的页面。
D、迫使登录用户的浏览器将伪造的 HTTP 请求,包括该用户的会话 cookie 和其他认证信息,发送到一个存在漏洞的 Web 应用程序。
E、应用程序需要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证,攻击者能够伪造请求以在未经适当授权时访问功能。
F、好的安全需要对应用程序、框架、应用程序服务器、 Web 服务器、数据库服务器和平台定义和执行安全配置。
G、攻击者通过在应用程序预先定义好的查询语句结尾加上额外的查询语句元素,欺骗数据库服务器执行非授权的任意查询。
H、攻击者通过在这种链接中插入恶意代码,当用户不小心单击这样带有恶意代码的链接时,其用户信息就有可能被攻击者盗取。
I、用户使用公共计算机浏览网站,登录验证身份之后,离开时没有退出账户而是选择直接关闭浏览器,使得下一个用户使用相同计算机浏览相同浏览器,可以看到上一个用户的对话。
J、作为授权的系统用户,攻击者只需要修改指向一个系统对象的直接引用参数值,让其指向另一个无权的对象。
【问题2】(2分)
SQL注入攻击有4个基本的特点:A、局限性,B、隐蔽性,C、攻击时间短,D、危害大。其中哪个错误的?(1分)应该是什么?(1分)
【问题3】(3分)
SQL注入攻击的危害性很大,应该从哪些方面来避免这种漏洞攻击?
【问题4】(5分)
如何防范跨站脚本(XSS)?(3分)如何防范跨站请求伪造(CSRF)?(2分)
信管网试题答案与解析:www.cnitpm.com/st/3822121186.html

信管网考友试题答案分享:

信管网十月€:
1 g b h j f i e d  a c<br>2 a 广泛性<br>3<br>常使用自带的安全api,完全避免使用解释器或提供参数化界面api<br>如果没法使用一个参数化的api,则使用解释器具体的escape语法来避免特殊字符<br>加强对用户输入验证<br>4<br>用户自身尽量不单击页面中不安全链接<br>使用内容安全策略cps来抵御整个网站的跨站式脚本攻击<br>使用具有规范化和解码功能的输入验证方法<br>根据将要置入的html的上下文对所有不可信数据进行恰当转义<br><br>要求用户重新认证或者判明他们是真实用户<br>该独有令牌包含在url或者作为url的参数<br>将独有的令牌包含在一个隐蔽字段

信管网cnitpm439753710:
【1】1-g;2-i;3-h;4-j;5-f;6-b;7-e;8-d;9-a;10-c 【2】局限性是错误, 【3】sql参数化查询 【4】

信管网cnitpm57427373058:
g,i,h,j,f,b,edac<br>局限性,广泛性<br>使用自带的api,避免使用解释器和参数化界面的api<br>使用解释器的escape语法避免特殊字符<br>对用户的输入进行验证<br>防范xss,将不可信任的数据和动态的浏览器内容分离开来<br>防范csrf,在每个http里设置一个令牌,至少保证令牌对每个用户会话是唯一的

信管网cnitpm57427373058:
g,i,h ,j,f,b,e,d,a,c<br>局限性,广泛性<br>使用自带api,避免使用解释器或者参数化界面的api<br>使用解释器里的escape函数避免特殊字符<br>对用户的输入的验证<br>防xss,避免不可信任数据和动态的浏览器内容关联<br>防carf,给http配置一个不可预测的令牌,至少保证对每一个用户对话都是唯一的

信管网cnitpm57427373058:
g,i,h,j,f,b,e,d,a,c<br>局限性 广泛性<br>使用系统自带的api,完全避免使用解释器或者参数化界面的api<br>使用解释器的具体escape语法避免特殊字符<br>对用户的输入进行验证<br>防范xss,使不可信任的数据和动态浏览器的内容分离<br>防范csrf,在http中加入一个不可预测的令牌,至少保证令牌是用户会话的唯一性

信管网试题答案与解析:www.cnitpm.com/st/3822121186.html
扫码关注公众号

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

相关内容

发表评论  查看完整评论  

推荐文章