安全测试考试题目(全).docx

软件安全性测试培训考试试卷部门：　　　　　　　　　　　　姓名：　　　　　　　　　　　　单选题（30分，每题2分）信息安全系统安全保护等级分为（　　C　　　　）。A、3级 B、4级 C、5级 D、6级从信息安全发展角度，目前主要是确保什么安全？（　　D　）。A、通信 B、计算机 C、人 D、信息和信息系统资产防火墙的原则是什么（　B　　　　　）。A、防攻击能力好 B、一切未被允许的就是禁止的！C、一切未被禁止的都是允许的！ D、是否漏电IDS和IPS的部署模式是（　D　　）。A、都是旁路模式 B、都是在线模式C、IDS在线模式、IPS旁路模式 D、IDS旁路模式、IPS在线模式VPN是什么？（　D　　　　　）。A、安全设备 B、防病毒软件 C、安全测试软件D、虚拟专用网络下列哪个不是常见的安全设计问题（A　　　　）。A、数据库表太多 B、密码技术使用的败笔C、创建自己的密码技术 D、错误的处理私密信息下面哪个不是VPN分类包括的（　　A　　　　）。A、主机对远程用户 B、主机对VPN 网关C、VPN网关对VPN 网关 D、远程用户对VPN 网关动态测试方法不包括（　　D　　　　）。A、手动分析技术B、安全扫描C、渗透测试D、用户测试必威体育精装版的WEB系统版本是（　　D　　　　）。A、Web7.0 B、Weblogic8.0 C、Websphere3.0 D、Web3.0渗透测试模拟什么角色进行（　　A　　　　）。A、模拟黑客 B、模拟用户 C、模拟系统管理员 D、模拟开发信息系统安全问题产生的外因是什么（　　　B　　　）。A、过程复杂B、对手的威胁与破坏C、结构复杂 D、使用复杂关于测试的思想转变，描述正确的是（　　A　　　　）。A、所有系统不允许的事件都去想办法允许。B、所有系统允许的事件都去想办法不允许。C、根据用户指定内容进行测试。D、根据开发人员指定内容进行测试。以下不属于安全测试的辅助工具的是（　　D　　）。A、wireshark B、APPSCAN C、Zenmap D、QTP下列哪种不属于WEB系统文件上传功能安全隐患（D）。A、未限制扩展名 B、未检查文件内容C、未查杀病毒文件 D、未检查文件大小以下哪种说法是对的（　　B　　　　）。关系数据库不需要进行安全测试。通过软件安全测试能够降低安全隐患。通过软件安全测试能够杜绝安全隐患。一个应用系统只需要一种测试工具测试。多选题（30分，每题3分，少选给2分，多选无分）以下属于软件安全产品的是（　CD　　　）。A、交换机 B、路由器 C、防火墙 D、IDS/IPS主机IDS监测的资源主要包括（ABCD　）。A、网络 B、文件 C、进程 D、系统日志关于软件安全开发周期正确的说法是（　　AD　　）。A、软件安全生命周期纳入到软件生命周期。B、软件生命周期贯穿软件安全生命周期中的每个阶段。C、软件生命周期纳入到软件安全生命周期。D、软件安全生命周期贯穿软件生命周期中的每个阶段。测试实施阶段的工作包括（　ABC　　　）。A、白盒测试 B、黑盒测试 C、灰盒测试 D、蓝盒测试安全测试七个接触点包括（　　ABCD　　　　）。A、代码审核 B、滥用案例 C、安全操作 D、渗透测试根据渗透目标分类，渗透测试包括（ABCD）。A、主机操作系统渗透 B、数据库系统渗透C、应用系统渗透 D、网络设备渗透下面哪种是跨站脚本的攻击形式（　　ABCD　　）。A、盗取CookieB、钓鱼C、操纵受害者的浏览器D、蠕虫攻击WEB系统动态安全测试手段包括（　　ABC　　　）。A、手动检查/配置检查 B、渗透测试C、安全扫描 D、用户测试Web应用系统十大漏洞包括（　ABCD　　　）。A、反射型跨站 B、存储型跨站C、DOM跨站D、跨站脚本软件安全开发周期包括（　ABC　　　　）。A、安全需求‐攻击用例 B、架构和设计评审/威胁建模C、安全编码原则 D、软件版本更新填空题（30分，每空3分）信息系统安全由　物理安全　　、网络安全、系统安全、应用安全、安全管理等五部分组成。信息系统安全等级中，第一级是　　用户自主保护　。等级保护评估手段包括管理评估、　　技术评估　　。防火墙的类型包括　包过滤防火墙　　、应用网关(应用代理)防火墙、状态检测包过滤防火墙等。IDS中文名称是　　入侵检测系统　　　　　　　　　。软件安全测试应该像　　攻击者　　　　　　一样思考。隔离网闸由