信息及网络安全基线考试(开发客观题)

 本套题目适用于测试人员,以下题目为系统抽取的随机题,请从安全角度考虑认真作答。  (客观题20*4,简答题每题10分,简答题为人工批改得分;本次成绩仅是客观题分数。)

Q1:用户登录失败,应该提示什么?

用户名不存在
详细的错误信息
用户名或密码错误
密码错误

Q2:登录操作为什么需要使用验证码?

其他网站都有验证码,所以我们也要有
减少用户频繁进行登录请求而带来的服务端性能消耗
公司要求必须有验证码功能
降低被暴力破解的可能性

Q3:单选题

进行大金额交易业务时
查看历史交易记录时
进行流程审批时
管理员修改商品库存信息时

Q4:以下关于“密码”字段描述正确的是?

可以使用get请求实现登录功能
为了手机端用户方便输入密码,可以提供对密码输入框进行粘贴和复制功能
密码回显功能必须使用“*”号来代替真正的密文,如果是浏览器上的回显,“*”号应该在服务端完成替换
为了方便调试,可以在日志中打印密码

Q5:关于会话管理描述正确的是?

根据系统的特殊需求,可以设置会话永久不过期
用户登录或更改密码后,不需要更新会话
会话必须具有唯一性和随机性
会话cookie必须使用容器组件默认的属性设置

Q6:以下哪个选项属于非敏感数据

用户密码
银行卡号
身份证号
商品编号

Q7:以下哪种方式最适合进行接口签名加密?

MD5
DES/3DES
SHA1
AES

Q8:关于密钥的说法正确的是?

推荐把“用户密码”直接作为某个业务操作的工作密钥
密钥可以写在程序中
密钥不能明文存储
为了便于以后追踪密钥信息,对于不在使用的密钥应该保存一段时间

Q9:对于“重要数据完整性保护”说法正确的是?

为了防止内鬼非法牟利,对系统敏感数据(如金额类数据)进行完整性保护
没必要对系统的License.txt文件提供完整性校验机制
使用HMAC进行完整性保护,推荐使用SHA(key||message)方法
以上说法都正确

Q10:关于接口防攻击的说法正确的是?

所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有接入认证机制
所有能访问需要保护的数据的接口必须有接入认证机制
若系统需同时提供接口给内部操作员使用和最终客户使用,那么这两种接口必须完全独立
以上说法都正确

Q11:以下哪个条件不可以作为审计日志的查询条件?

时间
密码
Ip
事件类型

Q12:关于Web安全开发描述正确的是?

应该校验输入数据的类型或格式
可以只在客户端进行数据校验
可以直接串联输入参数,用来构造可执行SQL
可以在配置文件中通过注释写明开发和生产环境的数据库信息,方便在不同环境中解开对用的注释,使之生效

Q13:关于异常处理,最优的方式为?

应该告知调用者详细的错误信息,包含堆栈信息
记录为info级别的日志信息
统一返回“服务异常,请联系管理员”来友好回应调用者
制定相应的错误码与对应的业务错误信息,返回给调用者

Q14:采用SHA2进行用户密码加密时,需要注意什么?

密钥长度最低256位
必须要有盐值
盐值至少要为8位
以上说法都正确

Q15:对以下加密算法描述正确的是?

AES是非对称加密,密钥长度最少为128位
RSA是对称加密,密钥长度最少为2048位
SHA2是单向哈希算法,密钥长度最少为256位
以上说法都正确

Q16:以下哪种协议是安全的?

TLS1.1
FTP
Telnet
HTTP

Q17:以下哪种业务需要防止被滥用?

查看商品列表
添加商品到购物车
发送短信验证码
修改订单数量

Q18:以下哪种设计是符合安全规范的?

为了方便开发者迅速处理紧急情况,应该预留后门,快速解决线上问题
应该做好熔断措施,防止整体系统因为部分功能故障而瘫痪
对于非交易类接口可以使用http协议进行访问
目前的ORM框架都很完善,我们没必要专门关心sql注入问题

Q19:以下关于账号管理描述正确的是?

账号应该具有唯一性
 可以作为账号的一部分
任何账号都不能写死在代码中
以上说法都正确

Q20:以下哪些选项可以作为用户认证条件?

用户所知道的,如密码
用户所拥有的,如手机验证码
用户所具有的,如指纹
用户ip

Q21:对重要的事务进行重新认证的理由有哪些?

防止会话被劫持
防止伪造跨站请求
让用户再次确认,以便于起到重视作用
以上都正确

Q22:对验证的要求描述正确的有?

验证码必须是单一图片
验证码字符必须是随机的
验证码的每个字符大小,位置都必须是随机的
验证码在一次使用后,立即失效

Q23:关于会话cookie的描述正确的是?

会话cookie的属性要设置为HttpOnly
为cookie设置secure标志
为包含会话标识的cookie设置适当限制的domain和path属性值
以上说法都不对

Q24:错误使用会话标识符的行为有哪些?

必要情况下,可以在日志中以debug级别打印会话标识符,方便调试
禁止将会话标识符以GET参数进行传递
采用restful形式的接口,可以将会话标识符作为一种资源,成为url的一部分,符合rest架构风格
会话标识符必须具备唯一性,随机性

Q25:以下哪些为常见的有风险的特殊字符?

%00
\r
\n
<>

Q26:关于系统上线部署描述正确的是?

提供安全区域划分的逻辑组网图和详细描述,逻辑组网图能够以防火墙为边界,体现安全区域划分逻辑
根据承载业务安全需求,在防火墙上划分安全区域并定义安全级别。安全区域的安全级别从低到高应当包含“非受信”类、“非军事化”类、“受信”类三大类区域
对“互联网”、“第三方网络”直接提供服务的主机,部署在“非军事化”类区域
业务对安全要求较高的部件(如数据、信令、管理、控制等),部署在防火墙的“受信”类区域

信息及网络安全基线考试(开发客观题)

26题  |  11次引用

相关模板

换一换