信息安全基础知识题集(8)

30. 安全日志可以记录在独立的日志文件里，也可以记录在日志数据库中。 答案：对

31. 软件应该提供对安全日志内容进行删除、修改和利用个人设备（U盘、移动硬盘灯）拷贝

的方法。 答案：错

32. 系统上线部署前应该保留软件程序代码中不需要的代码和那些不能完成任何功能的代码，

防止系统功能出现缺陷。 答案：错

33. 为了方便开发人员开发，在开发环境下可以使用超级用户或者其他特权用户进行软件开发。 答案：错

34. 为保证运行数据的完整性和可用性，软件开发必须设计有效的备份策略，根据业务和系统

维护需要提供定期或不定期，自动或者手动方式的备份机制。 答案：对

35. 软件应包含对安全日志进行定期归档和备份的功能，归档周期可配置。 答案：对

36. 软件应该保持用户界面只提供必须的功能，必要的情况下应允许用户通过用户界面直接访

问数据或者被保护对象。 答案：错

37. 出于机密性要求，应禁止在程序代码中直接写用户名和口令等用户访问控制信息。 答案：对

38. 接口方式安全性设计时，接口设备上的应用宜只包含实现系统互联所必须的业务功能，不

包含业务系统的所有功能。 答案：对

39. 一个准确完整的软件安全需求说明书应能在软件的生命周期中尽早地发现应用的安全弱

点和漏洞，并用最小的代价来预防和消除这些安全弱点和漏洞。 答案：对

40. 对称秘钥主要用于对称秘钥的管理、数字签名等，一般不用于数据、信息的传输家吗。非

对称秘钥用于数据、信息的加密解密。

答案：错

41. String sql=”select * from item where account=’“+account+”’and sku=’”sku”’;

Resultset rs=stmt.execute(query); 上述代码不存在SQL注入漏洞。 答案：错

42. 使用Preparedstatement参数化方式能有效地防止一般的SQL注入。 答案：对

43. String sql=”select * from item order by “ + colname此类SQL查询语句能使用

Preparedstatement参数化查询方式有效地防止SQL注入。 答案：错

44. 应采用适当的身份验证和权限分配模式，确保程序功能实现严格遵循“最小权限”和“需

要知道”的安全原则。 答案：对

45. 用户界面应提供详细的功能，确保用户能通过用户界面直接访问数据或者直接访问被保护

对象。 答案：错

46. 为了方便用户使用，应对于软件的普通用户进程，赋予改类进程特权用户权限。 答案：错

47. 仅在客户端进行安全验证是安全的，不需要在服务器端进行验证。 答案：错

48. 应保证数据库访问在不需要使用的时候被释放，例如连接、游标等。 答案：对

49. 应在传递的参数中使用真实的文件名进行传输。 答案：错

50. 应禁止将明文密码存储在配置文件、数据库或者其他外部数据源中。 答案：对

51. 在开发环境中，应该将核心研发环境中计算机USB口原则上进行封存。 答案：对

52. <%String eid=request.getparameter(“eid”);%> …

EmployeeID:<%=eid%> 上述代码存在跨站脚本漏洞。 答案：对 53. <%...

Resultset rs=stmt.executequery(SQL); If (rs!=null) Rs.next();

String name=rs.getstring(“name”): %>employee name:<%=name%> 上述代码中不存在跨站脚本漏洞。 答案：错

54. 缓冲区溢出漏洞能修改内存中变量的值，能劫持进程，执行恶意代码，最终获得主机的控

制权。 答案：对

55. SQL注入攻击能够查看、修改或者删除数据库条目和表。 答案：对

56. 如果username字段仅允许字母数据字符，其不区分大小写，则能使用正则表达式

^[a-zA-Z0-9]*$对username字段数据进行验证。 答案：对

57. 在对特殊字符进行转义时，可以将>转义成任意字符来防止漏洞发生。 答案：错

58. 跨站脚本欺骗漏洞能造成用户非法转账的危害。 答案：对

59. Cookie是存储在服务端的，具有很高的安全性。 答案：错

60. 编码宜使用简单的代码，清除不必要的功能，防止采用信息隐藏方式进行数据保护。 答案：对

61. 禁止返回给客户与业务处理无关的信息，禁止把重点保护数据返回给不信任的用户，避免

信息外漏。 答案：对

62. 日志数据都是由系统自动生成，在读取日志数据时，不需要做任何验证。 答案：错

63. 禁止将数据库DBA权限分配给应用程序。 答案：对

64. 数据库连接账户和密码信息应加密后在保存在配置文件中。 答案：错

65. 存储型跨站是指包含在动态内容中的数据在没有经过安全检测就存储到数据库中提供给

用户使用。 答案：对

66. 检查用户访问权限能有效防止不安全的直接对象引用。 答案：对

67. 跨站请求伪造漏洞能造成数据库表被篡改或者删除。 答案：对

68. 使用一次性令牌可以有效防止跨站请求伪造。 答案：对

69. 不安全的加密存储能造成机密资料容易被攻击者破解，造成资料外泄。 答案：对

70. MD5是最强的加密算法，可以有效地防止不安全的加密存储。 答案：错

71. 防止未经授权的URL访问，应该默认情况下拒绝所有的访问，同时针对每个功能页面明

确授予特定的用户和角色允许访问。 答案：对

72. HTTPS是安全的传输方式，能够有效地防止传输层保护不足。 答案：对

73. 系统在未经安全验证进行转发和重定向的页面时，直接进行转发和重定向不存在任何安全

风险。 答案：错

74. 对上传任意文件漏洞，只需要在客户端对上传文件大小、上传文件类型进行限制。 答案：错

75. 上传任意文件漏洞能够使攻击者通过上传木马文件，最终获得目标服务器的控制权限。 答案：对

76. 对返回客户端的错误提示信息进行统一和格式化能防止信息泄露。 答案：对

77. 未验证的重定向和转发能造成用户受到钓鱼攻击。 答案：对

78. http://example.com/login.jsp?backurl=234不直接从输入中获取URL，该方法能有效防止未

验证的重定向和转发。 答案：对

79. 只要使用了安全的传输协议（SSL/TLS）就能防止传输层保护不足。 答案：错

80. 由于客户端是不可信任的，可以将敏感数据存放在客户端。 答案：错

81. 在C语言中，为了防止没有释放内存资源，可以将内存释放多次。 答案：错

82. 0day漏洞是指还没有被任何人发现的漏洞。 答案：错

83. 用户登录某个银行系统后，成功注销登录后，还一定能受到画展请求伪造攻击。 答案：错

84. 系统中每次提交表单时，都在表单中加入一个固定值的令牌来防止画展请求伪造。 答案：错

85. 在输入处理中，对于来自存储在数据库中数据不需要进行输入处理，数据是完全可信任的。