软件安全设计与开发测试题.docx

《软件安全设计与开发测试题.docx》由会员分享，可在线阅读，更多相关《软件安全设计与开发测试题.docx（6页珍藏版）》请在优知文库上搜索。

1、软件安全设计与开发测试题一、单选题1 .对称密钥加密比非对称密钥加密OOA速度慢B速度相同C速度快D通常较慢2 .下面关于验证码的使用错误的是OoA必须使用带干扰的验证码B使用多张图片的验证码，可以增加破解的难度川U-）C用户信息与验证码验证必须在同一个请求提交给服务器D验证码验证错误后应更新验证码3 .关于XSS的说法错误的是OoA全称为跨站脚本攻击B通过HTML注入篡改网页，插入恶意脚本，控制用户浏览器的一种攻击行为C分为反射型XSS和存储型XSSD是一种基于服务器端的攻击脚本4 .网站的安全协议是https时，该网站浏览时会进行O处理。A增加访问标记B加密（正确笞案）C身份验证D口令验证

2、5 .防范XSS攻击的措施是OoA应尽量手工输入URL地址小B网站管理员应注重过滤特殊字符，限制输入长度，在代码层面上杜绝XSS漏洞出现的可能性C不要随意点击别人留在论坛留言板里的链接D不要打开来历不明的邮件、邮件附件、帖子等6 .攻击者通过端口扫描，可以直接获得OoA目标主机的口令B给目标主机种植木马C目标主机使用了什么配置的主机D目标主机开放了哪些端口服务I一7 .下列不属于Web应用带来的风险的是OoASQL注入8 XSS攻击C上传漏洞DDOS攻击8 .下列不属于OWASPloPIO的是OoA注入B不安全的直接对象引用C内存溢出W)D敏感信息泄露9 .下列不属于安全设计原则的是OoA最小

3、特权B保护隐私C不要相信外部输入D默认信任10 .应用开发过程中的安全不包括OOA安全培训B收集安全需求C源代码审查D安全发布（正确答11 .下列哪个不是浏览器的安全特性OOA同源策略B浏览器沙箱C恶意网址拦截DCookie12 .下列关于XSS说法错误的是（）。A全称为跨站脚本攻击B通过服务端注入，C包括反射型XSS和存储型XSSD它是在用户端控制用户浏览器的一种攻击13 .下列关于Cookie原理说法错误的是（）。A浏览器第一次向服务器发起请求，这时候没有CoOkieB服务器返回时发送Set-CoOkie头，向客户端浏览器写入CookieC在该COOkie到期前，浏览器访问该域下所有页面，

4、都将发送该CookieD浏览器在登录后才产生对应的COOkie14 .下列哪个不属于XSS的防御手段OOA设置HttPOnlyB输入检查C输出检查D禁用浏览器的CoOkie功能15 .关于CSRF,错误的是（）。A全称为跨站点请求伪造B可以让攻击者盗用你的身份并发送恶意请求C必须得依赖XSS漏洞才能实现攻击（D它是通过隐式认证来实现攻击的16 .关于CSRF的防范措施，错误的是（）。A验证码BCSRFTokenCReferCheckD保持浏览器及时更新并打补丁川:确然先）17 .关于CSRF与XSS,错误的是OoAXSS攻击包含了HTML和客户端脚本语言BXSS需要借助脚本语言CCSRF需要借

5、助脚本语言IDXSS产生的原因主要是没有对输入进行过滤18 .下面哪个不是属于钓鱼攻击的技术方法OoA发送电子邮件B建立假冒网站C利用用户弱口令D上传非法的文件（19 .下面关于SQL注入错误的是（）。A用户在输入中混入操作系统命令IB必须依赖SQL语句的动态构造C为了获取攻击者想要的信息D它一定依赖于数据库20 .下面关于SQL注入防御说法错误的是OOA服务端对所有输入数据验证有效性B使用黑名单验证不允许输入的字符IC不要动态组装SQL语句D对于需要产生命令运行的数据，保持尽量少的数据由外部输入21 .下列哪项属于认证错误后正确的反馈OoA登录失败，用户XXX的密码错误B登录失败，无效的用户

6、名C登录失败，该用户已被禁用D登录失败，用户名或密码错误IUIn22 .关于Web应用服务器的配置错误的是OoA确保已经安装了最新的安全补丁B只启动应用程序需要的服务模块C隐臧应用服务器的版本号D打包后所有文件都应该能被应用服务器直接访问23 .下列关于密码的存储安全的是OOA明文存储B密码经过对称转换后存储C对称加密之后存储D将密码原文和随机生成的SaIt字符串混淆进行哈希24 .下列关于服务器的安全部署错误的是OoAWeb服务器应置于隔离区BWeb应用的根目录必须部署在系统目录中CWeb服务器与应用服务器实现物理隔离D配置文件应加密存储在安全的位置25 .下列关于口令的说法错误的是OoA必须符合复杂度要求B口令连续出错多少次后应该进行锁定C口令的输入框禁止拷贝D用户登录后可查看自己的口令l.iG