信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2021/5/7）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/5/7

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/5/7）

4.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
在Internet 技術(shù)飛速演變、電子商務(wù)蓬勃發(fā)展的今天，開發(fā)的銀多應(yīng)用程序都是 Web應(yīng)用程序，隨著微信、微博、網(wǎng)上銀行等一系列的新型的 Web 應(yīng)用程序的誕生， Web應(yīng)用越來越廣泛。然而 Web 應(yīng)用程序及 Web 站點(diǎn)往往很容易遭受各種各樣的入侵， Web數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中也銀容易被竊取或盜用。如何能夠使 Web 及數(shù)據(jù)傳輸更加安全，就顯得尤為重要。
如今， Web 業(yè)務(wù)平臺己經(jīng)在電子商務(wù)、企業(yè)信息化中得到廣泛應(yīng)用，很多企業(yè)部將應(yīng)用架設(shè)在 Web 平臺上， Web 業(yè)務(wù)的迅速發(fā)展也引起了黑客們的強(qiáng)烈關(guān)注，他們將注意力從以往對傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對 Web 業(yè)務(wù)的攻擊上。黑客利用網(wǎng)站操作系統(tǒng)的漏洞和 Web 服務(wù)程序的 SQL 注入漏洞等得到 Web 服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。
國際權(quán)威機(jī)構(gòu) Forrester 的統(tǒng)計(jì)數(shù)據(jù)表明， 67% 的攻擊是通過應(yīng)用層的攻擊。即是，最簡單的網(wǎng)頁瀏覽也有可能造成威脅，比如，單擊含有病毒的網(wǎng)址、隱秘的圖片，或者，單擊下載某些免費(fèi)的軟件、文件等，由于下載的軟件或者文件中含有未知的惡意代碼，當(dāng)用戶在運(yùn)行程序或者打開這些文件時(shí)，惡意代碼被啟動就有可能造成用戶個(gè)人信息丟失，甚至后臺服務(wù)器系統(tǒng)出現(xiàn)漏洞給惡意攻擊者竊取信息提供方便的大門。
【問題1】（5分）
開源 Web 應(yīng)用安全項(xiàng)目 （OWASP） 是一個(gè)開放的社區(qū)組織。專注于討論應(yīng)用程序，代碼開發(fā)的威脅討論。 TOP 10項(xiàng)目的目標(biāo)是通過找出企業(yè)組織所面臨的最嚴(yán)重的十大風(fēng)險(xiǎn)來提高人們對應(yīng)用程序安全的關(guān)注度。以下是其中羅列的十大最有可能發(fā)生的應(yīng)用漏洞，將選項(xiàng)A-J正確對應(yīng)到其括號內(nèi)。
1、注入（  ） 
2、失效的身份認(rèn)證和會話管理（）
3、跨站腳本（XSS）（ ） 
4、不安全的直接對象引用（  ）
5、安全配置錯(cuò)誤（  ） 
6、敏感信息泄露（ ）
7、功能級訪問控制缺失（  ） 
8、跨站請求偽造（CSRF）（  ）
9、使用更含有已知漏洞的組件（  ） 
10、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)（  ）
A、如果一個(gè)帶有漏洞的組件被利用，這種攻擊可以造成更為嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管，在應(yīng)用程序中使用會破壞應(yīng)用程序防御系統(tǒng)。
B、攻擊者可能會竊取或篡改這些弱保護(hù)的數(shù)據(jù)以進(jìn)行信用卡詐騙、身份竊取，或其他犯罪。
C、Web 應(yīng)用程序經(jīng)常將用戶重定向和轉(zhuǎn)發(fā)到其他網(wǎng)頁和網(wǎng)站，并且利用不可信的數(shù)據(jù)去判定目的頁面。
D、迫使登錄用戶的瀏覽器將偽造的 HTTP 請求，包括該用戶的會話 cookie 和其他認(rèn)證信息，發(fā)送到一個(gè)存在漏洞的 Web 應(yīng)用程序。
E、應(yīng)用程序需要在每個(gè)功能被訪問時(shí)在服務(wù)器端執(zhí)行相同的訪問控制檢查。如果請求沒有被驗(yàn)證，攻擊者能夠偽造請求以在未經(jīng)適當(dāng)授權(quán)時(shí)訪問功能。
F、好的安全需要對應(yīng)用程序、框架、應(yīng)用程序服務(wù)器、 Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器和平臺定義和執(zhí)行安全配置。
G、攻擊者通過在應(yīng)用程序預(yù)先定義好的查詢語句結(jié)尾加上額外的查詢語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。
H、攻擊者通過在這種鏈接中插入惡意代碼，當(dāng)用戶不小心單擊這樣帶有惡意代碼的鏈接時(shí)，其用戶信息就有可能被攻擊者盜取。
I、用戶使用公共計(jì)算機(jī)瀏覽網(wǎng)站，登錄驗(yàn)證身份之后，離開時(shí)沒有退出賬戶而是選擇直接關(guān)閉瀏覽器，使得下一個(gè)用戶使用相同計(jì)算機(jī)瀏覽相同瀏覽器，可以看到上一個(gè)用戶的對話。
J、作為授權(quán)的系統(tǒng)用戶，攻擊者只需要修改指向一個(gè)系統(tǒng)對象的直接引用參數(shù)值，讓其指向另一個(gè)無權(quán)的對象。
【問題2】（2分）
SQL注入攻擊有4個(gè)基本的特點(diǎn)：A、局限性，B、隱蔽性，C、攻擊時(shí)間短，D、危害大。其中哪個(gè)錯(cuò)誤的？（1分）應(yīng)該是什么？（1分）
【問題3】（3分）
SQL注入攻擊的危害性很大，應(yīng)該從哪些方面來避免這種漏洞攻擊？
【問題4】（5分）
如何防范跨站腳本（XSS）？（3分）如何防范跨站請求偽造（CSRF）？（2分）
信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/3822121186.html

信管網(wǎng)考友試題答案分享：

信管網(wǎng)十月€：
1 g b h j f i e d  a c＜br＞2 a 廣泛性＜br＞3＜br＞常使用自帶的安全api,完全避免使用解釋器或提供參數(shù)化界面api＜br＞如果沒法使用一個(gè)參數(shù)化的api,則使用解釋器具體的escape語法來避免特殊字符＜br＞加強(qiáng)對用戶輸入驗(yàn)證＜br＞4＜br＞用戶自身盡量不單擊頁面中不安全鏈接＜br＞使用內(nèi)容安全策略cps來抵御整個(gè)網(wǎng)站的跨站式腳本攻擊＜br＞使用具有規(guī)范化和解碼功能的輸入驗(yàn)證方法＜br＞根據(jù)將要置入的html的上下文對所有不可信數(shù)據(jù)進(jìn)行恰當(dāng)轉(zhuǎn)義＜br＞＜br＞要求用戶重新認(rèn)證或者判明他們是真實(shí)用戶＜br＞該獨(dú)有令牌包含在url或者作為url的參數(shù)＜br＞將獨(dú)有的令牌包含在一個(gè)隱蔽字段

信管網(wǎng)cnitpm439753710：
【1】1-g；2-i；3-h；4-j；5-f；6-b；7-e；8-d；9-a；10-c 【2】局限性是錯(cuò)誤， 【3】sql參數(shù)化查詢 【4】

信管網(wǎng)cnitpm57427373058：
g,i,h,j,f,b,edac＜br＞局限性，廣泛性＜br＞使用自帶的api，避免使用解釋器和參數(shù)化界面的api＜br＞使用解釋器的escape語法避免特殊字符＜br＞對用戶的輸入進(jìn)行驗(yàn)證＜br＞防范xss，將不可信任的數(shù)據(jù)和動態(tài)的瀏覽器內(nèi)容分離開來＜br＞防范csrf,在每個(gè)http里設(shè)置一個(gè)令牌，至少保證令牌對每個(gè)用戶會話是唯一的

信管網(wǎng)cnitpm57427373058：
g,i,h ,j,f,b,e,d,a,c＜br＞局限性，廣泛性＜br＞使用自帶api，避免使用解釋器或者參數(shù)化界面的api＜br＞使用解釋器里的escape函數(shù)避免特殊字符＜br＞對用戶的輸入的驗(yàn)證＜br＞防xss,避免不可信任數(shù)據(jù)和動態(tài)的瀏覽器內(nèi)容關(guān)聯(lián)＜br＞防carf，給http配置一個(gè)不可預(yù)測的令牌，至少保證對每一個(gè)用戶對話都是唯一的

信管網(wǎng)cnitpm57427373058：
g,i,h,j,f,b,e,d,a,c＜br＞局限性 廣泛性＜br＞使用系統(tǒng)自帶的api，完全避免使用解釋器或者參數(shù)化界面的api＜br＞使用解釋器的具體escape語法避免特殊字符＜br＞對用戶的輸入進(jìn)行驗(yàn)證＜br＞防范xss，使不可信任的數(shù)據(jù)和動態(tài)瀏覽器的內(nèi)容分離＜br＞防范csrf，在http中加入一個(gè)不可預(yù)測的令牌，至少保證令牌是用戶會話的唯一性

信管網(wǎng)試題答案與解析：m.xiexiliangjiufa.com/st/3822121186.html