某网站在设计对经过了威胁建模和攻击面分析，在开发时要求程序员编写安全的代码，但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份，为了发现系统中是否存在其他类拟问题，以下哪种测试方式是最佳的测试方法。（）

A . 模糊测试 B . 源代码测试 C . 渗透测试 D . 软件功能测试

时间：2022-09-17 02:27:03 所属题库：注册信息安全专业人员(CISO、CISE通用版)题库

相似题目

根据下面内容，回答题：某公司在开发－种新的电子产品时，决定开展系统的可靠性3-_作，以提高产品的固有可靠性，公司成立以可靠性工程师为组长的项目可靠性小组，小组经过调查研究拟定了项目可靠性工作计划，请对涉及计划的下述内容进行分析和判断，回答相应的问题。适用于该产品可靠性度量的是（　　）。

A . F(t) B . MTBF C . MTTR D . f(t)

查看最佳答案
某机构要新建一个网络，除内部办公、员工邮件等功能外，还要对外提供访问本机构网站和FTP服务，设计师在设计网络安全策略时，给出的方案是：利用DMZ保护内网不受攻击，在DMZ和内网之间配一个内部防火墙，在DMZ和Internet间，较好的策略是（）

A . 配置一个外部防火墙，其规则为除非允许，都被禁止 B . 配置一个外部防火墙，其规则为除非禁止，都被允许 C . 不配置防火墙，自由访问，但在主机上安装杀病毒软件 D . 不配置防火墙，只在路由器上设置禁止PING操作

查看最佳答案
在信息系统所面临的威胁和攻击中，对信息或数据的攻击是指（）

A . A、信息的非法复制 B . B、干扰信息传播的通讯线路 C . C、非法访问信息系统 D . D、盗用信息系统的口令

查看最佳答案
某单位开发一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析，模糊测试等软件测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试，模糊测试的优势给领导做决策，以下哪条是渗透性的优势？（）

A . 渗透测试使用人工进行测试，不依赖软件，因此测试更准确 B . 渗透测试是用软件代替人工的一种测试方法。因此测试效率更高 C . 渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞 D . 渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多

查看最佳答案
某公司开发了一个游戏网站，但是由于网站软件存在问题，结果在软件上线后被黑客攻击，其数据库中的网游用户真实身份数据被黑客看到。关于此案例，可以描述正确的是（）

A . 该网站软件出现了保密性方面安全问题 B . 该网站软件出现了完整性方面安全问题 C . 该网站软件出现了可用性方面安全问题 D . 该网站软件出现了不可否认性方面安全问题

查看最佳答案
某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势？（）

A . 渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞 B . 渗透测试是用软件代替人工的一种测试方法，因此测试效率更高 C . 渗透测试使用人工进行测试，不依赖软件，因此测试更准确 D . 渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多

查看最佳答案
某公司在互联网区域新建了一个WEB网站，为了保护该网站主页安全性，尤其是不能让攻击者修改主页内容，该公司应当购买并部署下面哪个设备（）

A . 负载均衡设备 B . 网页防篡改系统 C . 网络防病毒系统 D . 网络审计系统

查看最佳答案
某网站为了开发的便利，SA连接数据库，由于网站脚本中被发现存在SOL注入漏洞，导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件，在进行问题分析时，作为安全专家，你应该指出该网站设计违反了以下哪项原则（）

A . 权限分离原则 B . 最小特权原则 C . 保护最薄弱环节的原则 D . 纵深防御的原则

查看最佳答案
某电子商务网站在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁？（）

A . 网站竞争对手可能雇佣攻击者实施DDos攻击，降低网站访问速度 B . 网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄漏，例如购买的商品金额等 C . 网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改 D . 网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息

查看最佳答案
某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是（）

A . 该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用https B . 该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施 C . 该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决 D . 该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

查看最佳答案
下图是某单位对其主网站的一天访问流量监测图，如果说该网站在当天17：00到20：00间受到了攻击，则从图中数据分析，这种攻击类型最可能属于下面什么攻击（）。https://assets.asklib.com/images/image2/2017070510540040222.jpg

A . 跨站脚本（Cross Site Scripting，XSS）攻击 B . TCP会话劫持（TCP Hi jack）攻击 C . IP欺骗攻击 D . 拒绝服务（Denial of Service，DoS）攻击

查看最佳答案
模板使用时要经过设计计算，主要是模板结构（包括模板面、支撑、体系和连接件）的设计计算。（）

A . 正确 B . 错误

查看最佳答案
攻击者通过搭线或在电磁波辐射范围内安装截收装置等方式获得机密信息，或通过对信息流量和流向、通信频率和长度等参数的分析推导出有用信息的威胁称为（）

A . A、破坏 B . B、抵赖 C . C、截取 D . D、窃取

查看最佳答案
攻击者通过搭线或在电磁波辐射范围内安装截收装置等方式获得机密信息，或通过对信息流量和流向、通信频率和长度等参数的分析推导出有用信息的威胁称为（11）。

A．破坏 B．抵赖 C．截取 D．窃取

查看最佳答案
某商品流通企业招聘了一些具有编程能力的员工，希望在商品流通企业管理信息系统的开发过程中，逐步培养对系统的分析和设计能力，以便在今后系统的使用过程中较易维护；企业可提供开发资金。那么该企业应采用的开发方式为()。

查看最佳答案
某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析.模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试.模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势（）

A．渗透测试使用人工进行测试，不依赖软件，因此测试更准确 B．渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞 C．渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多 D．渗透测试是用软件代替人工的一种测试方法，因此测试效率更高

查看最佳答案
某购物网站开发项目经过需求分析进入系统设计段，为了保证用户账户的安全，项目开发人员决定用户登录时除了用户名口令认证方式外，还加入基于数字证书的身份认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则？（）

A．最小特权原则 B．职责分离原则 C．纵深防御原则 D．最少共享机制原则

查看最佳答案
某党政机关开设的党建网未落实网络安全管理制度和技术保护措施，导致遭黑客攻击入侵，网站页面跳转为赌博网站，致使党建网无法正常运行访问而被迫关闭。警方在可对黑客攻击入侵行为开展立案调查，但不得对该党政机关单位开展查处。（)

是否

查看最佳答案
某城市一小型商场，由于管理不当引发火灾，致使管理机房过火设备蒙受损失，丢失了部分财务数据和客户信息，且无法恢复。经过对该事件进行分析，其后果对当地经济建设有一定的负面影响，影响到公众利益，但是对于国家安全不存在威胁。由此分析，以上事件应划归信息安全事件的哪一级别（）

A．重大事件 B．较大事件 C．一般事件 D．较小事件

查看最佳答案
某购物网站开发项目经过需求分析进入系统设计阶段，为了保证用户账户的安全，项目开发人员决定用户登录时除了用户名口令认证方式外，还加人基于数字证书的身价认证功能，同时用户口令使用SHA-1算法加密后存放在后台数据库中，请问以上安全设计遵循的是哪项安全设计原则：（）

A．最小特权原则 B．责任分离原则 C．纵深防御原则 D．最少共享机制原理

查看最佳答案
某化学教师在一次测验中，设计了如下试题考查学生。并对学生的考试结果进行了统计和分析。

【试题】下列说法正确的是（） A．10%的食盐溶液是指100g水中溶解了10g食盐 B．某物质只含有一种元素，则该物质不可能是混合物 C．聚乙烯是一种无毒的天然高分子化合物，可以用于食品包装 D．生铁和钢是含碳量不同的铁的两种合金【考试结果】42%的学生选择错误答案A或B。试根据上述信息，回答下列问题：（1）本题正确答案是____。（2）试对学生解题错误的原因进行分析和诊断。（3）如果你要讲评本题，你教给学生的正确解题思路是什么？

查看最佳答案
某电子商务网站在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的威胁。 STRIDE是微软SDL中提出的威胁建模方法，将威胁分为6类，为每一类威胁提供了标准的消减措施， spoofing是 STRIDE中欺骗类的威胁。以下威胁中哪个可以归入此类威胁（）

A．网站竞争对手可能雇佣攻击者实施DDOS攻击，降低网站访问速度 B．网站使用htp协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等 C．网站使用协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改 D．网站使用用户名.密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等

查看最佳答案
某住宅工程项目，建筑面积31000m<sup>2，某施工单位承包了此项工程。经过充分的施工准备，在进行该工程招标之前，设计单位向其提供了设计完善的详细的施工图纸。开发商在编制的招标文件中规定：各工程承包商在报价时要按照当期市场材料价格报价，对于工程施工需要的各种费用要考虑齐全，同时要考虑各种材料涨价等不利因素。开发商在招标文件中还明确本工程将采用图纸内容一次性包干的固定价格合同，如发包人无特殊要求

查看最佳答案
攻击者在攻击某网站时发现该网站有一个新闻搜索框，他在搜索框中输入“”后点击搜索，网站返回500页面，然后他又输入“%”点击搜索，网列出了所有文章的信息。说明该网站（)？

A.说明该网站存在搜索漏洞 B.说明该网站存在XSS漏洞 C.说明该网站存在搜索框注入 D.以上说法不正确

查看最佳答案

推荐题目