Python/PHP安全編碼培訓考題（100分）1、您的姓名為？【填空題】________________________2、您所在的公司為？【單選題】A.駿彩B.科技C.運營D.印務3、您所在的部門為？【填空題】________________________單項選擇題（共25題，每題4分，共計100分）4、1、關于輸入過濾原則描述錯誤的是？【單選題】A.A、 假設所有輸入都是惡意的B.B、 不要依賴客戶端檢驗C.C、 可以采用正則表達式檢驗D.D、 不要依賴服務端檢驗正確答案:D5、2、輸入過濾不可以防止以下哪種漏洞？【單選題】A.A、 XSSB.B、 SQL注入C.C、 XML注入D.D、 CSRF正確答案:D6、3、身份驗證是確定用戶身份的過程，大部分Web應用程序使用口令機制來驗證用戶身份，以下哪項設計不正確？【單選題】A.A、 提供帳戶鎖定功能B.B、 限定IP范圍C.C、 雙因素認證D.D、 使用GET傳遞口令正確答案:D7、4、 某購物網站開發項目經過需求分析進入系統設計階段，為了保證用戶帳戶安全，項目開發人員決定用戶登錄時除了用戶名口令認證方式外，還加入基于數字證書的身份認證功能，同時用戶口令使用SHA-1算法加密后存放在后臺數據庫中，請問以上安全設計遵循的是哪項安全設計原則？【單選題】A.A、最小特權原則B.B、職責分離原則C.C、縱深防御原則D.D、最少共享機制原則正確答案:C8、5、以下關于數字簽名說法正確的是？【單選題】A.A、數字簽名是在所傳輸的數據后附加上一段和傳輸數據毫無關系的數字信息B.B、數字簽名能夠解決數據的加密傳輸，即安全傳輸問題C.C、數字簽名一般采用對稱加密機制D.D、數字簽名能夠解決篡改、偽造等安全性問題正確答案:D9、6、最小特權是軟件安全設計的基本原則，某應用程序在設計時，設計人員給出了以下四種策略，其中有一個違反了最小特權的原則，作為評審專家，請指出是哪一個？【單選題】A.A、軟件在Linux下安裝時，設定運行時使用nobody用戶運行實例B.B、軟件的日志備份模塊由于需要備份所有數據庫數據，在備份模塊運行時，以數據庫備份操作員賬號連接數據庫C.C、軟件的日志模塊由于要向數據庫中的日志表中寫入日志信息，是用了一個日志用戶賬號連接數據庫，該賬號僅對日志表擁有權限D.D、為了保證軟件在Windows下能穩定的運行，設定運行權限為system，確保系統運行正常，不會因為權限不足產生運行錯誤正確答案:D10、7、敏感數據不包括哪些？【單選題】A.A、數據庫連接字符串B.B、口令C.C、密鑰D.D、庫存數據正確答案:D11、8、敏感數據應該如何處理？【單選題】A.A、明文存儲B.B、HTTPS傳輸C.C、HTTPGET傳輸D.D、存儲在日志中正確答案:B12、9、編碼（encoder）可以防御哪些攻擊？【單選題】A.A、XSS、SQL注入B.B、信息泄露C.C、CSRFD.D、文件上傳正確答案:A13、10、業務系統運行中異常錯誤處理合理的方法是？【單選題】A.A、讓系統自己處理異常B.B、調試方便，應該讓更多的錯誤更詳細的顯示出來C.C、捕獲錯誤，并拋出到前臺顯示D.D、捕獲錯誤，只顯示簡單的提示信息，或不顯示任何信息正確答案:D14、11、常用的混合加密（hybridEncryption）方案指的是：【單選題】A.A、使用對稱加密進行通訊數據加密，使用公鑰加密進行會話加密協商B.B、使用公鑰加密進行通訊數據加密，使用對稱加密進行會話加密協商C.C、 少量數據使用公鑰加密，大量數據使用對稱加密D.D、 少量數據使用對稱加密，大量數據使用公鑰加密正確答案:A15、12、 SQL注入是黑客對Web數據庫進行攻擊的常用手段之一，以下不是有效防范方法的是：【單選題】A.A、 不使用關系型數據庫B.B、 使用存儲過程C.C、 認真對表單輸入進行校驗，從查詢變量中濾去盡可能多的可疑字符D.D、嚴格區分數據庫的訪問權限正確答案:A16、13、 以下不是常用的預防棧溢出的防御方法的是？【單選題】A.A、 避免或正確使用可能產生棧溢出的函數B.B、 進行堆棧檢查C.C、 過濾特殊字符D.D、Fuzz測試正確答案:C17、14、 使用多因素身份認證能夠有效減輕下列哪種應用程序的安全隱患：【單選題】A.A、注入漏洞B.B、跨站點腳本C.C、緩沖區溢出D.D、中間人攻擊正確答案:D18、15、 關于XSS跨站腳本攻擊，下列說法錯誤的是：【單選題】A.A、XSS（crosssitescripting）跨站腳本，是一種迫使Web站點回顯可執行代碼的攻擊技術，而這些可執行代碼由攻擊者提供、最終為用戶瀏覽器加載B.B、XSS攻擊，一共涉及到三方，即攻擊者、客戶端與網站。C.C、XSS攻擊，最常用的攻擊方式就是通過腳本盜取用戶端cookie，從而進一步進行攻擊D.D、跨站腳本攻擊，分為反射型和存儲型兩種類型。反射型應用最廣泛正確答案:D19、16、 線程的安全主要來源于其運行的并發性和對資源的共享性，以下哪種方法可以解決線程死鎖安全？【單選題】A.A、讓一個線程在運行時，其他線程必須等待該線程運行完畢才能搶占CPUB.B、通過程序確定資源的合理分配算法，避免線程永遠占據系統資源C.C、需要暫停時，讓線程的run()方法結束運行以釋放資源；繼續時，新開辟一個線程繼續工作D.D、將線程暫停或繼續，在Thread類中置入一個標志，指出線程應該活動還是掛起正確答案:B20、17、除了使用密鑰加密保護數據外，我們也經常使用其他的手段來對數據進行保護，其中內存數據的保護比較重要，那么其基本策略是什么？【單選題】A.A、 所有內存數據使用加密算法加密B.B、 敏感數據在內存中長期存在，寫入硬盤后加密C.C、 敏感數據在內存中保留時間盡可能的短，并確保數據從不寫入硬盤D.D、避免內存數據丟失，因此可以長期保留在內存中正確答案:C21、18、應用程序會受到中間人攻擊的主要原因是：【單選題】A.A、不正確的會話管理B.B、缺乏審計C.C、不正確的存檔D.D、缺乏加密正確答案:A22、19、緩沖區溢出是一種非常普遍和危險的漏洞，指當計算機向緩沖區內填充數據時超過了緩沖區本身的容量而溢出。那么下列不屬于緩沖區溢出產生的后果的是？【單選題】A.A、 程序運行失敗B.B、 系統宕機，重新啟動C.C、 軟件源代碼被篡改D.D、攻擊者可能利用它來執行非授權指令，取得系統特權，進而進行各種非法操作正確答案:C23、20、 解決對象序列化安全的辦法不包括：【單選題】A.A、 在將對象實現序列化時，進行用戶身份認證B.B、 不要將敏感信息序列化C.C、 不能在對象中保存和某個線程相關的狀態D.D、當對象可能被多個線程進行操作時，應該考慮同步問題正確答案:A24、21、在類中，數據成員分為靜態成員和非靜態成員，其中靜態成員具有共享性，所以就必須考慮其數據安全問題，下列哪些不屬于靜態成員的注意事項？【單選題】A.A、靜態成員的初始化操作先于對象的實例化而進行，所以在它們的初始化中不要啟動線程，以免造成數據訪問問題，同時靜態成員的初始化操作中應不應該有依賴關系B.B、 不用靜態變量保存某個對象的狀態，而應該保存所有對象應該共有的狀態C.C、 不用類來訪問靜態變量，而用對象來訪問靜態變量D.D、不用對象來訪問靜態變量，而用類來訪問靜態變量正確答案:C25、22、 URL安全問題很多都是由于Cookie被盜取導致，請問下列哪項不屬于Cookie盜取方法？【單選題】A.A、利用跨站腳本技術，將信息發給目標服務器，為了隱藏跨站腳本的URL，甚至可以結合Ajax在后臺竊取CookieB.B、 通過軟件，竊取硬盤下的CookieC.C、 利用客戶端腳本盜取CookieD.D、將Cookie數據保存在服務器短選用session方案正確答案:D26、23、對于什么樣的文件可以不禁止下載（）【單選題】A.A、pdfB.B、exeC.C、batD.D、com正確答案:A27、24、下面關于跨站請求偽造，說法正確的是【單選題】A.A、 攻擊者不必偽造一個已經預測好請求參數的操作數據包B.B、 對于Get方法請求，URL即包含了請求的參數，因此偽造get請求，直接用url即可C.C、對于post方法的請求，因為請求的參數是在數據體中，目前還沒有技術支持偽造post請求D.D、因為POST請求無法偽造，因此，采用post方法，可以一定程度預防CSRF正確答案