- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
中意人寿保险开发安全培训考试题
您的姓名:[填空题]*
_________________________________
身份证号:[填空题]*
_________________________________
一、单项选择题(每题4分,共40分)
1、下面哪项属于C3类别信息()[单选题]*
A、手机号
B、交易流水
C、动态口令
D、生物识别信息(正确答案)
2、下面哪项是防护跨站脚本攻击漏洞的最佳解决方案()[单选题]*
A、不允许所有不可信数据
B、输出编码(正确答案)
C、白名单验证
D、黑名单验证
3、下列哪个不是SQL注入漏洞的危害()[单选题]*
A、数据库信息泄漏
B、网页篡改
C、服务器被远程控制,被安装后门
D、劫持用户会话,执行任意操作(正确答案)
4、下列哪个选项不属于防重放措施()[单选题]*
A、客户端的请求携带一个时间戳
B、在请求地址中添加token并验证
C、在Cookie中设置HttpOnly属性(正确答案)
D、在HTTP头中自定义属性并验证
5、下列对于数据保护的安全需求中,描述错误的时()[单选题]*
A、授予用户所需的最低权限
B、保护所有存放在服务器上缓存的或临时拷贝的敏感数据
C、在服务中加密存储高度机密信息
D、在客户端上以明文形式或其他非加密安全模式保存密码(正确答案)
6、对于Mybatis/ibatisSQL注入,以下哪一项可以防SQL注入()[单选题]*
A、SQL配置文件中使用#变量名称替代$变量名称创建参数化查询SQL语句来防
止SQL注入(正确答案)
B、SQL配置文件中使用$变量名称替代#变量名称创建参数化查询SQL语句来防
止SQL注入
C、$变量名称和#变量名称均可以创建参数化查询SQL语句来防止SQL注入
D、$变量名称和#变量名称均不可以创建参数化查询SQL语句来防止SQL注入,
需要重新选择其他字符
7、下列哪项不是对任意文件上传漏洞进行代码审计时需检查的点()[单选题]*
A、文件类型检测逻辑是否存在逻辑漏洞
B、对文件进行重命名,自定义后缀(正确答案)
C、文件类型检测逻辑是否存在被绕过风险
D、文件上传功能是否对文件类型及后缀进行检测
8、下列哪种类型的跨站脚本攻击(XSS)的危害最大()[单选题]*
A、反射型XSS
B、存储型XSS(正确答案)
C、基于DOM型XSS
D、以上类型漏洞危害相同
9、关于变更系统安全管控描述正确的是()[单选题]*
A、中风险变更需要经过安全需求与方案评审和安全评估准入
B、高风险变更只需要经过安全评估准入
C、低风险变更需要经过安全评估准入
D、中风险变更需要经过安全评估准入(正确答案)
10、开发安全全生命周期管理从那个阶段介入安全管控()[单选题]*
A、需求阶段(正确答案)
B、设计阶段
C、开发阶段
D、测试阶段
二、判断题(每题4分,共40分)
请在下面选项中选对和错。
11、应用系统开发时只要使用一些主流的安全框架(例如shiro,springsecurity)就
可以避免纵向越权漏洞的出现[判断题]*
对
错(正确答案)
12、攻击者可以利用任意文件上传漏洞直接上传一个webshell到服务器上完全控
制系统或致使系统瘫痪[判断题]*
对(正确答案)
错
13、使用的第三方组件或框架存在漏洞会导致信息泄露[判断题]*
对(正确答案)
错
14、HTTPS数据加密可以防止重放攻击[判断题]*
对
错(正确答案)
15、使用纯数据格式如Json、XML,使数据对象和业务对象分离是避免使用反序
列化是减少风险的最好方式[判断题]*
对(正确答案)
错
16、对水平越权漏洞进行源代码安全审计时需分析交易入口处的入参是否有标识身
份类的参数传入,如用户id、手机号、流水号等,分析该交易中主要逻辑,是否
直接使用该身份标识类参数,进而确认是否存在水平越权漏洞[判断题]*
对(正确答案)
错
17、进行输入验证时优先使用白名单[判断题]*
对(正确答案)
错
18、通过对发短信的请求频率和单位时间请求次数两个角度进行限制可以防止短信
炸弹[判断题]*
对(正确答案)
错
19、在开发阶段可以提供开发安全规范、安全组件等服务提高编码质量和代码安全
性[判断题
文档评论(0)