中意人壽保險開發安全培訓考試題您的姓名：[填空題]*_________________________________身份證號：[填空題]*_________________________________一、單項選擇題（每題4分，共40分）1、下面哪項屬于C3類別信息（）[單選題]*A、手機號B、交易流水C、動態口令D、生物識別信息(正確答案)2、下面哪項是防護跨站腳本攻擊漏洞的最佳解決方案（）[單選題]*A、不允許所有不可信數據B、輸出編碼(正確答案)C、白名單驗證D、黑名單驗證3、下列哪個不是SQL注入漏洞的危害（）[單選題]*A、數據庫信息泄漏B、網頁篡改C、服務器被遠程控制，被安裝后門D、劫持用戶會話，執行任意操作(正確答案)4、下列哪個選項不屬于防重放措施（）[單選題]*A、客戶端的請求攜帶一個時間戳B、在請求地址中添加token并驗證C、在Cookie中設置HttpOnly屬性(正確答案)D、在HTTP頭中自定義屬性并驗證5、下列對于數據保護的安全需求中，描述錯誤的時（）[單選題]*A、授予用戶所需的最低權限B、保護所有存放在服務器上緩存的或臨時拷貝的敏感數據C、在服務中加密存儲高度機密信息D、在客戶端上以明文形式或其他非加密安全模式保存密碼(正確答案)6、對于Mybatis/ibatisSQL注入，以下哪一項可以防SQL注入（）[單選題]*A、SQL配置文件中使用#變量名稱替代$變量名稱創建參數化查詢SQL語句來防止SQL注入(正確答案)B、SQL配置文件中使用$變量名稱替代#變量名稱創建參數化查詢SQL語句來防止SQL注入C、$變量名稱和#變量名稱均可以創建參數化查詢SQL語句來防止SQL注入D、$變量名稱和#變量名稱均不可以創建參數化查詢SQL語句來防止SQL注入，需要重新選擇其他字符7、下列哪項不是對任意文件上傳漏洞進行代碼審計時需檢查的點（）[單選題]*A、文件類型檢測邏輯是否存在邏輯漏洞B、對文件進行重命名，自定義后綴(正確答案)C、文件類型檢測邏輯是否存在被繞過風險D、文件上傳功能是否對文件類型及后綴進行檢測8、下列哪種類型的跨站腳本攻擊（XSS）的危害最大（）[單選題]*A、反射型XSSB、存儲型XSS(正確答案)C、基于DOM型XSSD、以上類型漏洞危害相同9、關于變更系統安全管控描述正確的是（）[單選題]*A、中風險變更需要經過安全需求與方案評審和安全評估準入B、高風險變更只需要經過安全評估準入C、低風險變更需要經過安全評估準入D、中風險變更需要經過安全評估準入(正確答案)10、開發安全全生命周期管理從那個階段介入安全管控（）[單選題]*A、需求階段(正確答案)B、設計階段C、開發階段D、測試階段二、判斷題（每題4分，共40分）

請在下面選項中選對和錯。11、應用系統開發時只要使用一些主流的安全框架（例如shiro,springsecurity）就可以避免縱向越權漏洞的出現[判斷題]*對錯(正確答案)12、攻擊者可以利用任意文件上傳漏洞直接上傳一個webshell到服務器上完全控制系統或致使系統癱瘓[判斷題]*對(正確答案)錯13、使用的第三方組件或框架存在漏洞會導致信息泄露[判斷題]*對(正確答案)錯14、HTTPS數據加密可以防止重放攻擊[判斷題]*對錯(正確答案)15、使用純數據格式如Json、XML，使數據對象和業務對象分離是避免使用反序列化是減少風險的最好方式[判斷題]*對(正確答案)錯16、對水平越權漏洞進行源代碼安全審計時需分析交易入口處的入參是否有標識身份類的參數傳入，如用戶id、手機號、流水號等，分析該交易中主要邏輯，是否直接使用該身份標識類參數，進而確認是否存在水平越權漏洞[判斷題]*對(正確答案)錯17、進行輸入驗證時優先使用白名單[判斷題]*對(正確答案)錯18、通過對發短信的請求頻率和單位時間請求次數兩個角度進行限制可以防止短信炸彈[判斷題]*對(正確答案)錯19、在開發階段可以提供開發安全規范、安全組件等服務提高編碼質量和代碼安全性[判斷題]*對(正確答案)錯20、DevSecOPS中的開發的安全保證主要靠自動化工具，不需要人工介入[判斷題]*對錯(正確答案)三、簡答題（每題10分，共20分）21、請簡述4種信息泄露漏洞的成因，以及信息泄露漏洞產生的危害