应用安全风险
1:以下哪一种风险不属于OWASP 2017 Top 10应用安全风险?
[‘敏感数据泄露。’, ‘跨站脚本(XSS)。’, ‘失效的访问控制。’, ‘跨站点请求伪造(CSRF)。’]
答案:[‘4’]
2:如果一个web服务的数据库配置不当,黑客可以通过SQL注入漏洞,篡改数据库中的内容。
[‘正确’, ‘错误’]
答案:加微信看答案
如何应对安全风险
3:对于安全开发人员,提升应用程序和接口的安全很重要,但是不如在应用开发初始阶段就进行安全设计这样节省成本。
[‘正确’, ‘错误’]
答案:
4:企业组织应该建立安全可视化和可量化机制,让所有不同角色的人都能理解应用程序的安全态势。
[‘正确’, ‘错误’]
答案:
软件安全开发生命周期及小结
5:以下哪一个不属于需求阶段的安全活动?
[‘建立威胁模型。’, ‘明确软件产品的安全要求。’, ‘建立Bug标准,确定Bug等级。’, ‘风险评估,找出软件的高风险点。’]
答案:
6:下列哪一项不属于安全编码的最佳实践?
[‘避免缓冲区溢出。’, ‘采用代码静态分析工具。’, ‘加强单元测试。’, ‘定义安全开发代码规范并执行。’]
答案:[‘3’]
7:模糊测试最初被用于发现可靠性bug,但后来也被证明是一种发现安全bug行之有效的方式。包括文件、网络协议、API等方式构造畸形数据进行测试。
[‘正确’, ‘错误’]
答案:加微信看答案
软件安全开发
8:安全测试就是定期对产品进行安全扫描或渗透测试,提供安全相关信息。
[‘正确’, ‘错误’]
答案:
9:以下哪一个开发模型不属于安全开发模型?
[‘SDL’, ‘CMMI’, ‘SAMM’, ‘BSIMM’]
答案:
10:SDL定义的安全活动的实施,不能够干扰正常的软件开发过程,应该找时间独立统一实施。
[‘正确’, ‘错误’]
答案:
11:不属于基本软件安全培训应涵盖的基础概念的是?
[‘安全设计。’, ‘安全响应。’, ‘威胁建模。’, ‘安全编码。’]
答案:[‘2’]