第1題：

Which of the following forms of evidence for the auditor would be considered the MOST reliable?

A、An oral statement from the auditee

B、The results of a test performed by an IS auditor

C、An internally generated computer accounting report

D、A confirmation letter received from an outside source

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：以下哪種形式的證據(jù)對(duì)審計(jì)員來講更具可靠性？

A、被審計(jì)人員的口頭陳訴

B、由IS審計(jì)師執(zhí)行的測試結(jié)果

C、一份內(nèi)部導(dǎo)出的計(jì)算機(jī)財(cái)務(wù)賬目報(bào)告

D、從外部資源發(fā)來的確認(rèn)信。

注：從外部來源獲得的證據(jù)通常比組織內(nèi)獲得的更可靠。外部當(dāng)事人收到的確認(rèn)信，如用于核實(shí)應(yīng)收賬款余額的確認(rèn)信，通常是高度可靠的。如果核數(shù)師對(duì)審核的技術(shù)領(lǐng)域沒有很好的理解，審核員的測試可能不可靠。

第2題：

下面哪項(xiàng)屬于軟件開發(fā)安全方面的問題（）

A.軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。

B.應(yīng)用軟件來考慮多線程技術(shù)，在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)

C.應(yīng)用軟件存在sol 注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)

D.軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝。

信管網(wǎng)參考答案：C

信管網(wǎng)參考答案：當(dāng)應(yīng)用程序使用輸入內(nèi)容來構(gòu)造動(dòng)態(tài)sql語句以訪問數(shù)據(jù)庫時(shí)，會(huì)發(fā)生sql注入攻擊。如果代碼使用存儲(chǔ)過程，而這些存儲(chǔ)過程作為包含未篩選的用戶輸入的字符串來傳遞，也會(huì)發(fā)生sql注入。sql注入可能導(dǎo)致攻擊者使用應(yīng)用程序登陸在數(shù)據(jù)庫中執(zhí)行命令。相關(guān)的sql注入可以通過測試工具pangolin進(jìn)行。如果應(yīng)用程序使用特權(quán)過高的帳戶連接到數(shù)據(jù)庫，這種問題會(huì)變得很嚴(yán)重。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造動(dòng)態(tài)sql命令，或者作為存儲(chǔ)過程的輸入?yún)?shù)，這些表單特別容易受到sql注入的攻擊。而許多網(wǎng)站程序在編寫時(shí)，沒有對(duì)用戶輸入的合法性進(jìn)行判斷或者程序中本身的變量處理不當(dāng)，使應(yīng)用程序存在安全隱患。這樣，用戶就可以提交一段數(shù)據(jù)庫查詢的代碼，根據(jù)程序返回的結(jié)果，獲得一些敏感的信息或者控制整個(gè)服務(wù)器，于是sql注入就發(fā)生了。

c是來自軟件開發(fā)方面的問題