信息安全工程師案例分析當天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2016/11/1）在線測試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2016/11/1

信息安全工程師案例分析每日一練試題內容（2016/11/1）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應欄內。
【說明】
在Internet 技術飛速演變、電子商務蓬勃發(fā)展的今天，開發(fā)的銀多應用程序都是 Web應用程序，隨著微信、微博、網上銀行等一系列的新型的 Web 應用程序的誕生， Web應用越來越廣泛。然而 Web 應用程序及 Web 站點往往很容易遭受各種各樣的入侵， Web數據在網絡傳輸過程中也銀容易被竊取或盜用。如何能夠使 Web 及數據傳輸更加安全，就顯得尤為重要。
如今， Web 業(yè)務平臺己經在電子商務、企業(yè)信息化中得到廣泛應用，很多企業(yè)部將應用架設在 Web 平臺上， Web 業(yè)務的迅速發(fā)展也引起了黑客們的強烈關注，他們將注意力從以往對傳統(tǒng)網絡服務器的攻擊逐步轉移到了對 Web 業(yè)務的攻擊上。黑客利用網站操作系統(tǒng)的漏洞和 Web 服務程序的 SQL 注入漏洞等得到 Web 服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。
國際權威機構 Forrester 的統(tǒng)計數據表明， 67% 的攻擊是通過應用層的攻擊。即是，最簡單的網頁瀏覽也有可能造成威脅，比如，單擊含有病毒的網址、隱秘的圖片，或者，單擊下載某些免費的軟件、文件等，由于下載的軟件或者文件中含有未知的惡意代碼，當用戶在運行程序或者打開這些文件時，惡意代碼被啟動就有可能造成用戶個人信息丟失，甚至后臺服務器系統(tǒng)出現漏洞給惡意攻擊者竊取信息提供方便的大門。
【問題1】（5分）
開源 Web 應用安全項目 （OWASP） 是一個開放的社區(qū)組織。專注于討論應用程序，代碼開發(fā)的威脅討論。 TOP 10項目的目標是通過找出企業(yè)組織所面臨的最嚴重的十大風險來提高人們對應用程序安全的關注度。以下是其中羅列的十大最有可能發(fā)生的應用漏洞，將選項A-J正確對應到其括號內。
1、注入（  ）
2、失效的身份認證和會話管理（  ）
3、跨站腳本（XSS）（  ）
4、不安全的直接對象引用（  ）
5、安全配置錯誤（  ）
6、敏感信息泄露（  ）
7、功能級訪問控制缺失（  ）
8、跨站請求偽造（CSRF）（  ）
9、使用更含有已知漏洞的組件（  ）
10、未驗證的重定向和轉發(fā)（  ）

A、如果一個帶有漏洞的組件被利用，這種攻擊可以造成更為嚴重的數據丟失或服務器接管，在應用程序中使用會破壞應用程序防御系統(tǒng)。
B、攻擊者可能會竊取或篡改這些弱保護的數據以進行信用卡詐騙、身份竊取，或其他犯罪。
C、Web 應用程序經常將用戶重定向和轉發(fā)到其他網頁和網站，并且利用不可信的數據去判定目的頁面。
D、迫使登錄用戶的瀏覽器將偽造的 HTTP 請求，包括該用戶的會話 cookie 和其他認證信息，發(fā)送到一個存在漏洞的 Web 應用程序。
E、應用程序需要在每個功能被訪問時在服務器端執(zhí)行相同的訪問控制檢查。如果請求沒有被驗證，攻擊者能夠偽造請求以在未經適當授權時訪問功能。
F、好的安全需要對應用程序、框架、應用程序服務器、 Web 服務器、數據庫服務器和平臺定義和執(zhí)行安全配置。
G、攻擊者通過在應用程序預先定義好的查詢語句結尾加上額外的查詢語句元素，欺騙數據庫服務器執(zhí)行非授權的任意查詢。
H、攻擊者通過在這種鏈接中插入惡意代碼，當用戶不小心單擊這樣帶有惡意代碼的鏈接時，其用戶信息就有可能被攻擊者盜取。
I、用戶使用公共計算機瀏覽網站，登錄驗證身份之后，離開時沒有退出賬戶而是選擇直接關閉瀏覽器，使得下一個用戶使用相同計算機瀏覽相同瀏覽器，可以看到上一個用戶的對話。
J、作為授權的系統(tǒng)用戶，攻擊者只需要修改指向一個系統(tǒng)對象的直接引用參數值，讓其指向另一個無權的對象。
【問題2】（2分）
SQL注入攻擊有4個基本的特點：A、局限性，B、隱蔽性，C、攻擊時間短，D、危害大。其中哪個錯誤的？（1分）應該是什么？（1分）
【問題3】（3分）
SQL注入攻擊的危害性很大，應該從哪些方面來避免這種漏洞攻擊？
【問題4】（5分）
如何防范跨站腳本（XSS）？（3分）如何防范跨站請求偽造（CSRF）？（2分）

信管網ningning：
      1、（1）g，（2）i,（3）h,（4）j，（5）f,（6）b,（7）e，（8）d，（9）a，（10）c;
      2、錯誤的是：局限性，應該是：廣泛性；
      3、（1）常使用自帶的安全api，完全避免使用解釋器或者提供參數化界面的api。
        （2）如果沒法使用一個參數化的api，那么應該使用解釋器具體的escape語法來避免特殊字符。
        （3）加強對用戶輸入的驗證。
     4、（1）根據數據將要置于的html上下文對所有的不可信數據進行恰當的轉義，或者是去掉（），沒有html標簽頁面就是安全的；“白名單”的，具有恰當的規(guī)范化和解碼功能的輸入驗證方法同樣會有助于防止跨站腳本；用內容安全策略來抵御整個網站的跨站腳本攻擊；用戶學會控制自己的好奇心，盡量不去單擊頁面中不安全的鏈接；
        （2）最好的方法是將獨有的令牌包含在一個隱藏字段中；該獨有令牌同樣可以包含在url中或作為一個url參數；要求用戶重新認證或者判明他們是一個真實的用戶也可以防護csrf攻擊。

信管網ningning：
      1、（1）g，（2）i,（3）h,（4）j，（5）f,（6）b,（7）e，（8）d，（9）a，（10）c;
      2、錯誤的是：局限性，應該是：廣泛性；
      3、（1）常使用自帶的安全api，完全避免使用解釋器或者提供參數化界面的api。
        （2）如果沒法使用一個參數化的api，那么應該使用解釋器具體的escape語法來避免特殊字符。
        （3）加強對用戶輸入的驗證。
     4、（1）根據數據將要置于的html上下文對所有的不可信數據進行恰當的轉義，或者是去掉（），沒有html標簽頁面就是安全的；“白名單”的，具有恰當的規(guī)范化和解碼功能的輸入驗證方法同樣會有助于防止跨站腳本；用內容安全策略來抵御整個網站的跨站腳本攻擊；用戶學會控制自己的好奇心，盡量不去單擊頁面中不安全的鏈接；
        （2）最好的方法是將獨有的令牌包含在一個隱藏字段中；該獨有令牌同樣可以包含在url中或作為一個url參數；要求用戶重新認證或者判明他們是一個真實的用戶也可以防護csrf攻擊。

信管網hjcenry2016：
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

a，如果能夠獲取系統(tǒng)權限，危害是很大的，并沒有局限性

對于任何輸入的數據都要進行sql注入的檢查過濾，嚴格控制數據庫權限

信管網xuxia92：
問題1 1g 2j 3h 4 5f 6 7 8 問題2 a 應該是廣泛性 問題3 常使用自帶api工具，使用解釋器，加強用戶輸入驗證； 問題4 防范xss，將不可信的數據和瀏覽器內容區(qū)分開；防范csrf，①隱藏用戶令牌信息；②讓用戶重新登錄驗證