应用安全开发规范培训在线考试

Q1:姓名

:分割线

:一，判断题（每题5分，共10题，共计50分）

Q2:输入输出可能产生安全风险，包括常见的反射型跨站脚本攻击漏洞、存储型跨站脚本攻击漏洞、数据库命令注入、XML注入、系统命令注入等漏洞

Q3:所有用户输入、修改的数据，所有与客户端交互的的数据，仅包括GET请求数据、POST请求数据、Referer主机头、Cookie数据

Q4:必须在服务端执行所有的数据处理及校验，不可以单独使用JavaScript在客户端处理及校验

Q5:不用在服务端执行所有的编码输出操作

Q6:必须保证会话创建服务器自身的运行环境安全。并且须保证会话ID有足够随机性，以防止被暴力猜解或逆向

Q7:禁止使用GET方法传递敏感参数（会话标识、身份证号等），因为GET方法会将数据显示在URL中，传输过程所有的代理及缓存服务器都可以直接获取用户数据

Q8:重要系统在每个请求或每个会话中使用token随机参数

Q9:攻击者可能根据认证失败的结果，暴力破解用户名和密码。较弱的图形验证码能够被某些图像识别技术读取出其中的验证码字符，进而绕过图形验证码的校验功能。邮箱、手机认证也是常见的认证方式。以上对象都需要有合理安全的管理方法

Q10:业务日志主要是为了记录用户的业务操作行为，保证业务操作的可追溯性和抗抵赖性，这通常也是所有行业监管机构的强制要求

Q11:包含所有在网络中传输的所有应用数据,敏感数据应当进行双重加密

:二，多选题（每题5分，共5题，共计25分）

Q12:应用安全开发规范文档的预期读者包括

Q13:外部数据来源分为以下几类

Q14:输出数据来源分为以下几类(BCD )

Q15:身份认证安全风险主要包括用户密码暴力破解、验证码无效、验证绕过、验证码回显、图形验证码过弱、无密码策略等等。可造成的风险不限于( )等等安全风险。属于非常重要的功能模块。

Q16:会话管理风险主要包括( )等等。可造成的风险包括但不限于用户敏感信息被盗、异常的转账或修改信息等。对用户危害相对较大

:三，填空题，每题5分，共5题，共计25分

Q17:输入输出可能产生安全风险，包括常见的反射型跨站脚本攻击漏洞、存储型跨站脚本攻击漏洞、数据库命令注入、XML注入、系统命令注入等漏洞。对系统造成的安全风险极大，包括但不限于获取用户权限、数据库内容和（ ）等等。

Q18:所有用户输入、修改的数据，所有与客户端交互的的数据，包括但不限于GET请求数据、POST请求数据、Referer主机头和（ ）等。

Q19:白名单的使用场景包括()和()。

Q20:会话保持的方法分为两大类，分别是（ ）和（ ）

Q21:身份认证安全风险主要包括用户密码暴力破解、验证码无效、验证绕过、验证码回显、图形验证码过弱、无密码策略等等。可造成的风险不限于撞库攻击、暴力破解、用户名枚举、任意用户登陆等等安全风险。属于非常重要的（ ）