分类：期货从业后续培训

应用安全风险
1:以下哪一种风险不属于OWASP 2017 Top 10应用安全风险？
[‘敏感数据泄露。’, ‘跨站脚本（XSS）。’, ‘失效的访问控制。’, ‘跨站点请求伪造（CSRF）。’]
答案：[‘4’]

2:如果一个web服务的数据库配置不当，黑客可以通过SQL注入漏洞，篡改数据库中的内容。
[‘正确’, ‘错误’]
答案：加微信看答案

如何应对安全风险
3:对于安全开发人员，提升应用程序和接口的安全很重要，但是不如在应用开发初始阶段就进行安全设计这样节省成本。
[‘正确’, ‘错误’]
答案：

4:企业组织应该建立安全可视化和可量化机制，让所有不同角色的人都能理解应用程序的安全态势。
[‘正确’, ‘错误’]
答案：

软件安全开发生命周期及小结
5:以下哪一个不属于需求阶段的安全活动？
[‘建立威胁模型。’, ‘明确软件产品的安全要求。’, ‘建立Bug标准，确定Bug等级。’, ‘风险评估，找出软件的高风险点。’]
答案：

6:下列哪一项不属于安全编码的最佳实践？
[‘避免缓冲区溢出。’, ‘采用代码静态分析工具。’, ‘加强单元测试。’, ‘定义安全开发代码规范并执行。’]
答案：[‘3’]

7:模糊测试最初被用于发现可靠性bug，但后来也被证明是一种发现安全bug行之有效的方式。包括文件、网络协议、API等方式构造畸形数据进行测试。
[‘正确’, ‘错误’]
答案：加微信看答案

软件安全开发
8:安全测试就是定期对产品进行安全扫描或渗透测试，提供安全相关信息。
[‘正确’, ‘错误’]
答案：

9:以下哪一个开发模型不属于安全开发模型？
[‘SDL’, ‘CMMI’, ‘SAMM’, ‘BSIMM’]
答案：

10:SDL定义的安全活动的实施，不能够干扰正常的软件开发过程，应该找时间独立统一实施。
[‘正确’, ‘错误’]
答案：

11:不属于基本软件安全培训应涵盖的基础概念的是？
[‘安全设计。’, ‘安全响应。’, ‘威胁建模。’, ‘安全编码。’]
答案：[‘2’]

《期货公司柜台系统数据接口规范》解读
1:根据期货公司柜台系统数据接口规范，柜台系统分为交易、清算、账户与资金、风控四个子系统。
[‘正确’, ‘错误’]
答案：[‘1’]

2:各子系统之间数据交互方式包括非实时文件方式和实时报文方式。
[‘正确’, ‘错误’]
答案：加微信看答案

3:开盘前交易系统上场的数据包括（）。
[‘账户数据’, ‘费率数据’, ‘成交数据’, ‘昨持仓数据’]
答案：

4:盘后交易系统下场的数据包括（）。
[‘账户数据’, ‘费率数据’, ‘成交数据’, ‘昨持仓数据’]
答案：

5:清算系统输入的数据包括（）。
[‘账户数据’, ‘费率数据’, ‘成交数据’, ‘昨持仓数据’]
答案：

OWASP简介
1:关于OWASP说法正确的是？
[‘OWASP是一个开源的专注于Web安全问题得组织。’, ‘OWASP是一个美国开放的安全机构。’, ‘OWASP是一个专注渗透测试的开源组织。’, ‘OWASP是一个开源的专注于SQL安全问题得组织。’]
答案：[‘1’]

2:已知某个链接存在SQL注入漏洞，网址是http://www.xxx.com.cn/product.asp?id=20，以下哪个URL访问之后，页面不会报错？
[‘http://www.xxx.com.cn/product_more.asp?id=20’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 1=1’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 1=2’, ‘http://www.xxx.com.cn/product_more.asp?id=20 and 99*9<100'] 答案：加微信看答案

OWASP TOP 10 2017
3:2018年8月份汉庭酒店发生信息泄露事件，据报道原因是由于运维人员将数据库账户信息同步到了github上了，关于信息泄露说法正确的是？
[‘Web站点轻易不会发生信息泄露事件。’, ‘信息泄露事件一般影响不大。’, ‘信息泄露事件只发生在酒店行业。’, ‘信息泄露可能会导致例如用户账户、密码、身份信息、电话等数据泄露，会对个人的安全产生严重影响。’]
答案：

4:关于访问控制说法错误的是？
[‘对于Web站点的安全问题可以通过WAF来实现安全控制。’, ‘访问控制只能实现对外的连接，对内不能。’, ‘MySQL、MSSql等数据库可以通过修改配置文件实现安全加固措施。’, ‘Web站点只能通过买防火墙等安全设备进行访问控制等安全加固措施。’]
答案：

常用Web安全工具
5:下列不属于安全配置的选项是？
[‘检查上传文件的大小、类型、后缀格式等属性，防止上传恶意文件。’, ‘Web网站安装并运行并不需要的服务，比如FTP或SMTP。’, ‘对于站点的所有输入进行过滤转义，防止有SQL注入攻击。’, ‘在登录页面选择POST方法传递账户信息，并在后台做校验，防止万能密码登录。’]
答案：

6:日志记录监控是Web安全非常重要的一个安全问题，请问网络安全法中关于日志保留时间说法正确的是？
[‘1个月’, ‘3个月’, ‘6个月’, ‘1年’]
答案：[‘3’]

OWASP TOP 10与常见Web应用安全风险介绍
7:Sqlmap经常用来做注入检测，下面关于Sqlmap语法表述错误的是？
[‘–current-db 表示获取当前数据库名称。’, ‘–-tables –D security 表示获取security数据库的表信息。’, ‘–dbs 表示枚举处mysql数据库中当前所有的数据库信息。’, ‘–dump –column username,password 表示抓取字段值。’]
答案：加微信看答案

8:以下哪项是burpsuite不具备的功能？
[‘代理抓取HTTP数据包。’, ‘修改HTTP数据包。’, ‘可以爆破账户信息。’, ‘可以修改HTTP的返回值。’]
答案：

9:下面关于网络安全工具说法不正确的是？
[‘Brupsuite是一款非常流行的Web安全工具。’, ‘Wireshark在网络安全领域不怎么受欢迎。’, ‘nmap是一款网络扫描工具。’, ‘AWVS经常用来做漏扫工作。’]
答案：

10:一般来说，通过WEB运行http服务的子进程时，我们会选择（ ）的用户权限方式，这样可以保证系统的安全。
[‘root’, ‘httpd’, ‘guest’, ‘nobody’]
答案：

应急预案制定
1:以下哪个选项一般不是制定应急预案的参考依据 ?
[‘《中华人民共和国突发事件应对法》’, ‘《中华人民共和国网络安全法》’, ‘《证券期货业信息安全事件报告与调查处理办法》’, ‘《中华人民共和国证券法》’]
答案：[‘4’]

2: 从证券期货行业突发事件划分惯例看，突发事件划分为几级较为合适？
[‘三级。’, ‘四级。’, ‘五级。’, ‘六级。’]
答案：加微信看答案

应急演练工作要点
3:针对不同的演练场景下参与方。以下哪个选项描述最准确？

1. 组织机构。2.部门。3．人员。4.关联方
[‘只包含1、2。’, ‘只包含1、3、4。’, ‘只包含1、2、3。’, ‘可能包含1、2、3、4。’]
答案：

4:通常所说的应急演练方式，不包括一下哪个选项？
[‘桌面推演。’, ‘功能演练。’, ‘全面演练。’, ‘行业演练。’]
答案：

应急预案制定及应急演练工作要点
5:从应急预案层级划分的角度，以下哪个不属于应急预案层级性关键材料？
[‘总预案。’, ‘分预案。’, ‘应急通讯录。’, ‘应急操作手册。’]
答案：

6:以下选项是关于突发事件分级响应和处置的主要内容描述最全面的？1. 报告和处置原则。2.不同级别的处置流程。
3．向有关部门报告。 4.主要的处置措施。5. 向行业相关部门通报情况。
[‘1、2、3。’, ‘1、3、4、5。’, ‘1、2、3、4。’, ‘1、2、3、4、5以上全是。’]
答案：[‘4’]

7:应急演练需进行完备记录，以下哪个选项描述最合适？
[‘至少需记录时间、地点、人员、操作内容、操作结果。’, ‘至少需记录时间、人员、操作内容、操作结果。’, ‘至少需记录时间、人员、操作内容、操作结果、异常情况。’, ‘至少需记录时间、地点、人员、操作内容。’]
答案：加微信看答案

8:关于应急演练完成后，以下的哪个选项是最重要的？
[‘宣布演练完成。’, ‘汇报演练成果。’, ‘完善应急预案。’, ‘进行总结表彰。’]
答案：

行业软件测试现阶段探索
1:关于测试设计方法表述错误的是？
[‘边界值分析法是对等价类划分法的一种补充。’, ‘正交实验法（Pairwise） 比全正交（判定表法）覆盖强度更高。’, ‘等价类划分是全正交（判定表法）的基础，划分的粒度越精细，全正交覆盖率越高。’, ‘穷尽法覆盖强度最高，但成本过高难以实现。’]
答案：[‘2’]

2:关于正交实验法（Pairwise）表述错误的是？
[‘基于两两组合的策略。’, ‘覆盖两个因子的交互作用产生的用例集合性价比最高。’, ‘是对全正交设计法进行了优化，适当的提高了效率。’, ‘可以有效应对极细测试粒度下的叠加场景引发的缺陷。’]
答案：加微信看答案

人工智能对软件测试影响
3:人工智能所需的三要素分别是: 数据量,计算能力和算法。
[‘正确’, ‘错误’]
答案：

4:低技能,处理大数据量的工作是人工智能的替代路径, 将逐步被人工智能取代。
[‘正确’, ‘错误’]
答案：

记忆神经网络（LSTM）实现仿真测试
5:关于人工智能表述错误的是？
[‘人工智能可以代替人类实现识别，认知，分析，决策等多种功能。’, ‘在特定领域，特定需求条件下，弱人工智能的表现已经明显优于人类。’, ‘弱人工智能具有比较好的可解释性。’, ‘人工智能还将长期处于弱人工智能时代。’]
答案：

6:单纯增加深度神经网络层数, 不增加数据量也可以明显提升学习效果 。
[‘正确’, ‘错误’]
答案：[‘2’]

人工智能在软件测试中的应用探索
7:关于深度神经网络正确的表述是？
[‘属于强人工智能。’, ‘层数越深,学习数据量越大,学习效果越好。’, ‘深度神经网络是依靠做定性分析来完成判断和预测。’, ‘无法还原非线性的复杂原函数。’]
答案：加微信看答案

8:下面最适合使用LSTM记忆神经网络的场景是？
[‘识别一张图片是否有猫存在。’, ‘根据肿瘤的大小,形状,血流情况的输入判断是否属于良性。’, ‘根据用户某些特征,对相似用户进行聚类。’, ‘识别一段文字描述所表达的含义。’]
答案：

9:LSTM记忆 神经网络可以基于上一次已经预测的结果进行继续预测。
[‘正确’, ‘错误’]
答案：

10:聚类算法通常都会作为其他人工智能算法的前驱过程。
[‘正确’, ‘错误’]
答案：