CISP复习题（3）100题

goodluck

1.

最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权
的原则，作为评审专家，请指出是哪一个?
A．软件在 Linux下按照时，设定运行时使用 nobody用户运行实例
B．软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库
C．软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志
表拥有权限
D.为了保证软件在 Windows 下能稳定的运行，设定运行权限为 system，确保系统运行正常，不会因为权限不足产生运行
错误
解释：SYSTEM权限是最大权限，答案为D。

2.

主机 A 向主机 B发出的数据采用AH或 ESP的传输模式对经过互联网的数据流量进行保护时，主机A 和主机 B 的IP地址
在应该在下列哪个范围?
A．10．0．0．0～10．255．255．255
B．172．16．0．0～172．31．255．255

C、192．168．0．0～192．168．255．255
D. 不在上述范围内
解释：采用传输模式则没有地址转换，那么 A、B主机应为公有地址。

3.

某电子商务网站最近发生了一起安全事件，出现了一个价值 1000 元的商品用 1元被买走的情况，经分析是由于设计时出
于性能考虑，在浏览时使用 Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击
者将价值 1000 元的商品以 1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因
分析及解决措施。最正确的说法应该是?
A．该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访
问都强制要求使用 https
B．该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措
施
C．该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决
D．该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可
解释：根据题干是采用 HTTP的协议导致的，则答案为 A。

CISP复习题（3）100题.pdf (284.11 KB, 下载次数: 6, 售价: 2 个鸿鹄币)

2024-7-4 18:34 上传

点击文件名下载附件

mawr1985

exim

谢谢大佬分享资料！