Java安全编码培训考题
感谢您能抽出几分钟时间来参加本次答题,现在我们就马上开始吧!
个人信息(请如实填写) 
第1项:您的姓名为?        ____________ 
第2项:您所在的公司为?
    ○  骏彩
    ○  科技
    ○  运营
    ○  印务 
第3项:您所在的部门为?        ____________ 
单项选择题(共25题,每题4分,共计100分) 
第4项:1、关于输入过滤原则描述错误的是?
    ○  A、 假设所有输入都是恶意的
    ○  B、 不要依赖客户端检验
    ○  C、 可以采用正则表达式检验
    ○  D、 不要依赖服务端检验 
第5项:2、输入过滤不可以防止以下哪种漏洞?
    ○  A、 XSS
    ○  B、 S
第L 注入
    ○  C、 XML注入
    ○  D、 CSRF  Q6项:3、身份验证是确定用户身份的过程, 大部分 Web 应用程序使用口令机制来验证用户身份,以下哪项设计不正确?
    ○  A、 提供帐户锁定功能
    ○  B、 限定IP范围
    ○  C、 双因素认证
    ○  D、 使用GET传递口令 
第7项:4、 某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户帐户安全,项目开发人员决定用户登录时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则?
    ○  A、最小特权原则
    ○  B、职责分离原则
    ○  C、纵深防御原则
    ○  D、最少共享机制原则 
第8项:5、以下关于数字签名说法正确的是? java培训怎么学
    ○  A、数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息
    ○  B、数字签名能够解决数据的加密传输,即安全传输问题
    ○  C、数字签名一般采用对称加密机制
    ○  D、数字签名能够解决篡改、伪造等安全性问题 
第9项:6、最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个? 
    ○  A、软件在Linux下安装时,设定运行时使用nobody用户运行实例
    ○  B、软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据
库备份操作员账号连接数据库
    ○  C、软件的日志模块由于要向数据库中的日志表中写入日志信息,是用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限
    ○  D、为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误 
第10项:7、敏感数据不包括哪些?
    ○  A、数据库连接字符串
    ○  B、口令
    ○  C、密钥
    ○  D、库存数据 
第11项:8、敏感数据应该如何处理?
    ○  A、明文存储
    ○  B、HTTPS传输
    ○  C、HTTP GET传输
    ○  D、存储在日志中 
第12项:9、编码(encoder)可以防御哪些攻击?
    ○  A、XSS、S
第L注入
    ○  B、信息泄露
    ○  C、CSRF
    ○  D、文件上传  Q13项:10、业务系统运行中异常错误处理合理的方法是?
    ○  A、让系统自己处理异常
    ○  B、调试方便,应该让更多的错误更详细的显示出来
    ○  C、捕获错误,并抛出到前台显示
    ○  D、捕获错误,只显示简单的提示信息,或不显示任何信息 
第14项:11、常用的混合加密(hybrid Encryption )方案指的是: 
    ○  A、使用对称加密进行通讯数据加密,使用公钥加密进行会话加密协商
    ○  B、使用公钥加密进行通讯数据加密,使用对称加密进行会话加密协商
    ○  C、 少量数据使用公钥加密,大量数据使用对称加密
    ○  D、 少量数据使用对称加密,大量数据使用公钥加密 
第15项:12、 S
第L注入是黑客对Web数据库进行攻击的常用手段之一,以下不是有效防范方法的是项:
    ○  A、 不使用关系型数据库
    ○  B、 使用存储过程
    ○  C、 认真对表单输入进行校验,从查询变量中滤去尽可能多的可疑字符
    ○  D、严格区分数据库的访问权限 
第16项:13、 以下不是常用的预防栈溢出的防御方法的是?
    ○  A、 避免或正确使用可能产生栈溢出的函数
    ○  B、 进行堆栈检查
    ○  C、 过滤特殊字符
    ○  D、Fuzz测试 
第17项:14、 使用多因素身份认证能够有效减轻下列哪种应用程序的安全隐患:
    ○  A、注入漏洞
    ○  B、跨站点脚本
    ○  C、缓冲区溢出
    ○  D、中间人攻击 
第18项:15、 关于XSS跨站脚本攻击,下列说法错误的是:
    ○  A、XSS(cross site scripting)跨站脚本,是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载
    ○  B、XSS攻击,一共涉及到三方,即攻击者、客户端与网站。
    ○  C、XSS攻击,最常用的攻击方式就是通过脚本盗取用户端cookie,从而进一步进行攻击
    ○  D、跨站脚本攻击,分为反射型和存储型两种类型。反射型应用最广泛 
第19项:16、 线程的安全主要来源于其运行的并发性和对资源的共享性,以下哪种方法可以解决线程死锁安全?

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。