中意人寿保险开发安全培训考试题.pdfVIP

中意人寿保险开发安全培训考试题

您的姓名：[填空题]*

_________________________________

身份证号：[填空题]*

_________________________________

一、单项选择题（每题4分，共40分）

1、下面哪项属于C3类别信息（）[单选题]*

A、手机号

B、交易流水

C、动态口令

D、生物识别信息(正确答案)

2、下面哪项是防护跨站脚本攻击漏洞的最佳解决方案（）[单选题]*

A、不允许所有不可信数据

B、输出编码(正确答案)

C、白名单验证

D、黑名单验证

3、下列哪个不是SQL注入漏洞的危害（）[单选题]*

A、数据库信息泄漏

B、网页篡改

C、服务器被远程控制，被安装后门

D、劫持用户会话，执行任意操作(正确答案)

4、下列哪个选项不属于防重放措施（）[单选题]*

A、客户端的请求携带一个时间戳

B、在请求地址中添加token并验证

C、在Cookie中设置HttpOnly属性(正确答案)

D、在HTTP头中自定义属性并验证

5、下列对于数据保护的安全需求中，描述错误的时（）[单选题]*

A、授予用户所需的最低权限

B、保护所有存放在服务器上缓存的或临时拷贝的敏感数据

C、在服务中加密存储高度机密信息

D、在客户端上以明文形式或其他非加密安全模式保存密码(正确答案)

6、对于Mybatis/ibatisSQL注入，以下哪一项可以防SQL注入（）[单选题]*

A、SQL配置文件中使用#变量名称替代$变量名称创建参数化查询SQL语句来防

止SQL注入(正确答案)

B、SQL配置文件中使用$变量名称替代#变量名称创建参数化查询SQL语句来防

止SQL注入

C、$变量名称和#变量名称均可以创建参数化查询SQL语句来防止SQL注入

D、$变量名称和#变量名称均不可以创建参数化查询SQL语句来防止SQL注入，

需要重新选择其他字符

7、下列哪项不是对任意文件上传漏洞进行代码审计时需检查的点（）[单选题]*

A、文件类型检测逻辑是否存在逻辑漏洞

B、对文件进行重命名，自定义后缀(正确答案)

C、文件类型检测逻辑是否存在被绕过风险

D、文件上传功能是否对文件类型及后缀进行检测

8、下列哪种类型的跨站脚本攻击（XSS）的危害最大（）[单选题]*

A、反射型XSS

B、存储型XSS(正确答案)

C、基于DOM型XSS

D、以上类型漏洞危害相同

9、关于变更系统安全管控描述正确的是（）[单选题]*

A、中风险变更需要经过安全需求与方案评审和安全评估准入

B、高风险变更只需要经过安全评估准入

C、低风险变更需要经过安全评估准入

D、中风险变更需要经过安全评估准入(正确答案)

10、开发安全全生命周期管理从那个阶段介入安全管控（）[单选题]*

A、需求阶段(正确答案)

B、设计阶段

C、开发阶段

D、测试阶段

二、判断题（每题4分，共40分）

请在下面选项中选对和错。

11、应用系统开发时只要使用一些主流的安全框架（例如shiro,springsecurity）就

可以避免纵向越权漏洞的出现[判断题]*

对

错(正确答案)

12、攻击者可以利用任意文件上传漏洞直接上传一个webshell到服务器上完全控

制系统或致使系统瘫痪[判断题]*

对(正确答案)

错

13、使用的第三方组件或框架存在漏洞会导致信息泄露[判断题]*

对(正确答案)

错

14、HTTPS数据加密可以防止重放攻击[判断题]*

对

错(正确答案)

15、使用纯数据格式如Json、XML，使数据对象和业务对象分离是避免使用反序

列化是减少风险的最好方式[判断题]*

对(正确答案)

错

16、对水平越权漏洞进行源代码安全审计时需分析交易入口处的入参是否有标识身

份类的参数传入，如用户id、手机号、流水号等，分析该交易中主要逻辑，是否

直接使用该身份标识类参数，进而确认是否存在水平越权漏洞[判断题]*

对(正确答案)

错

17、进行输入验证时优先使用白名单[判断题]*

对(正确答案)

错

18、通过对发短信的请求频率和单位时间请求次数两个角度进行限制可以防止短信

炸弹[判断题]*

对(正确答案)

错

19、在开发阶段可以提供开发安全规范、安全组件等服务提高编码质量和代码安全

性[判断题