安全開發(fā)考核測試卷附答案試題含答案

安全開發(fā)考核測試卷附答案1.以下不是2017年版OWASPtop10漏洞的是XML外部實體注入失效的訪問控制不安全的反序列化跨站請求偽造（CSRF）2.以下測試代碼一般是用于什么漏洞的測試

27/webcenter/trade/execelexport.jsp?htmltable="><script>alert(/xss/)</script>

URL跳轉漏洞跨站腳本漏洞SQL注入漏洞跨站點請求偽造漏洞3.下列哪個是有效防范賬號密碼暴力猜解攻擊的方式驗證碼機制Refer源判斷同一賬號密碼猜測次數(shù)限制密碼md5加密處理4.下面哪些風險是因業(yè)務邏輯設計缺陷造成的溢出漏洞水平越權訪問Struts2系統(tǒng)命令執(zhí)行漏洞文件上傳漏洞5.造成攻擊者可以通過訪問正常文件時的鏈接，查看服務器敏感文件信息，屬于下列哪個問題導致的sql注入xxs攻擊路徑操作測試程序殘留6.以下哪個不是CSRF漏洞的防御方案檢測HTTPreferer字段同域敏感請求添加用戶密碼校驗使用驗證碼使用Post形式提交請求7.跨站攻擊分類正確的是反應型、存儲型反射型、存儲型、DOM型儲藏型、DOM型以上都不對8.這段代碼存在的安全問題，會產(chǎn)生什么安全漏洞？

$username=$_GET(username);

echo$uername

文件解析漏洞SQL注入漏洞文件包含漏洞反射XSS漏洞9.下面哪個代碼是不安全的

選項1

選項210.下面哪個代碼是不安全的

選項1

選項211.這段代碼會產(chǎn)生什么漏洞

Runtime.getRuntime（）.exec(request.getParameter("cmd"))SQL注入漏洞命令執(zhí)行漏洞XSS跨站漏洞文件讀取漏洞12.關于安全編碼原則說法錯誤的是無論是直接輸入數(shù)據(jù)還是間接輸入數(shù)據(jù)，均要對其進行嚴格的安全檢查用戶輸入功能，要盡可能少的使用數(shù)據(jù)檢查過程中發(fā)現(xiàn)有不符合要求，要將內(nèi)容進行修正轉換后使用針對安全控制措施，要統(tǒng)一防御手段，從底層框架或API中實現(xiàn)安全處理方式13.測試階段是發(fā)現(xiàn)并改正軟件安全漏洞的最佳環(huán)節(jié)，過早或過晚檢測修改漏洞都將增大軟件開發(fā)成本。您的看法是錯對不需要進行安全測試14.限制用戶錯誤嘗試次數(shù)可以防止跨站腳本漏洞攻擊暴力破解文件上傳漏洞攻擊釣魚攻擊15.對于文件上傳只需要對后綴名進行白名單判斷就可以避免攻擊。您的看法是錯，對后綴名進行白名單判斷可防止跨站腳本漏洞攻擊，而不是文件上傳漏洞攻擊錯，進行白名單判斷的方法是防止文件上傳漏洞的方法之一對以上都有錯16.下列哪個站點可能存在SQL注入https://www.ABC.com/index.html?z=2http://www.ABC.com/index.php?f=2ftp://www.ABC.com/http://www.ABC.com/image/face.jpg17.SQL注入成功后返回的password字段的值為“YWRtaW5hZG1pbg==”，這是采用了下面哪種加密方式MD5base64AESDES1.為預防跨站腳本漏洞，應滿足如下哪些要求對輸出的數(shù)據(jù)做輸出轉義處理使用一個過濾器來過濾不安全的字符啟用X-xss-protection響應頭使用參數(shù)化查詢2.以下哪些手段有助于防止文件上傳攻擊文件后綴名白名單過濾使用加密傳輸上傳的圖片進行二次渲染禁止上傳目錄可執(zhí)行權限3.SQL注入可以造成哪些危害脫庫讀取數(shù)據(jù)下載文件執(zhí)行系統(tǒng)命令4.以下關于cookie與session管理說法正確的是直接關閉瀏覽器“退出”系統(tǒng)會導致未自動銷毀的session被惡意利用登錄時需要更新sessionCookie中可以明文存儲用戶名和密碼使用session.removeAttribute（）方法可以使session銷毀5.常見的注入攻擊有哪些SQL注入命令注入日志注入CRLF注入XML注入6.為了網(wǎng)站安全，下列對驗證碼的描述正確的是驗證碼要保存在服務器驗證碼進行后臺校驗每次使用后更換驗證碼前端校驗7.關于錯誤處理說法正確的是運維人員可通過錯誤頁面顯示的錯誤代碼調(diào)試程序通過統(tǒng)一的自定義錯誤跳轉頁面處理錯誤信息，包括50