《安全生產(chǎn)底線》考試
滿分100分,100分合格;
不合格需要進(jìn)行補(bǔ)考,補(bǔ)考不限次數(shù);
基本信息:
工號(hào)
是否為補(bǔ)考:
是
否
1、關(guān)于登錄管理,以下哪項(xiàng)做法比較合理?
A、客戶端在10分鐘內(nèi)有5次連續(xù)嘗試登錄失敗時(shí),服務(wù)端執(zhí)行連續(xù)登錄失敗鎖定策略
B、服務(wù)端不執(zhí)行連續(xù)登錄失敗鎖定策略
C、只累計(jì)連續(xù)登錄失敗次數(shù)達(dá)到5次就執(zhí)行連續(xù)登陸失敗鎖定策略,不需要限定在一定時(shí)間范圍內(nèi)
D、統(tǒng)計(jì)用戶在一天內(nèi)登錄失敗的總次數(shù)(非連續(xù)),只要達(dá)到失敗達(dá)到總記錄數(shù)后就不允許登陸
2、以下哪種口令保存方式比較安全不容易泄露?
A、只要將數(shù)據(jù)庫接入和訪問安全管理,應(yīng)用的口令可以明文保存在數(shù)據(jù)庫表中
B、以安全AES-256的加密形式保存在配置文件中
C、瀏覽器的cookie,一般用戶不知道怎么查看,因此可以將Web的登錄口令存放在cookie當(dāng)中
D、使用BASE64將口令編碼后與原口令不一樣并且不需要維護(hù)密鑰,該方式是便捷和安全的
3、關(guān)于授權(quán)和用戶角色數(shù)據(jù)的處理,以下描述哪個(gè)描述比較合理?
A、用戶角色權(quán)限數(shù)據(jù)存放在服務(wù)器端并且用戶請求應(yīng)該在服務(wù)器端上進(jìn)行鑒權(quán)
B、客戶端向服務(wù)端查詢用戶角色權(quán)限數(shù)據(jù)后,在客戶端本地對用戶的請求進(jìn)行鑒權(quán)
C、客戶端存放用戶的角色權(quán)限數(shù)據(jù),當(dāng)用戶請求時(shí)將客戶端本地權(quán)限數(shù)據(jù)與業(yè)務(wù)請求一同發(fā)給服務(wù)端進(jìn)行鑒權(quán)和業(yè)務(wù)處理
D、用戶登錄后不需要進(jìn)行用戶的權(quán)限進(jìn)行鑒權(quán),因?yàn)椴僮鲉T都是專業(yè)人員不會(huì)訪問或操作無權(quán)的業(yè)務(wù)
4、以下哪些場景可以不需要配置主機(jī)本地的防火墻?
A、主機(jī)上的應(yīng)用訪問其它主機(jī)和網(wǎng)絡(luò)時(shí)都會(huì)經(jīng)過硬件防火墻的監(jiān)控時(shí)可以不用配置當(dāng)前主機(jī)的本地防火墻
B、局域網(wǎng)內(nèi)部網(wǎng)絡(luò)危險(xiǎn)較低,即使沒有任務(wù)防火墻措施都可以
C、使用https協(xié)議對外提供服務(wù)的主機(jī)可以不使用防火墻,因?yàn)閔ttps協(xié)議是安全的傳輸協(xié)議
D、未部署任務(wù)應(yīng)用的主機(jī),可以不采取防火墻等安全措施,因?yàn)槲床渴饝?yīng)用受攻擊沒有什么損失
5、關(guān)于重要參數(shù)需要服務(wù)端二次驗(yàn)證,以下哪些參數(shù)可以不需要做二次驗(yàn)證
A、用戶充值的金額參數(shù)
B、訂單請求的訂購產(chǎn)品ID參數(shù)
C、秒殺活動(dòng)中的產(chǎn)品數(shù)量參數(shù)
D、查詢產(chǎn)品信息返回的分頁參數(shù)
6、哪些掃描工具不具備安全漏洞或代碼編碼安全的功能?(公司推薦的工具不包括哪個(gè))
A、安全漏洞Findsecbugs插件
B、DICSonar
C、360安全殺毒
D、公司代碼審計(jì)平臺(tái)
7、安全工具掃描和漏洞掃描中哪些可以延后修復(fù)或暫時(shí)不處理?
A、安全工具DICSonar掃描出來的阻斷類問題(可以引起應(yīng)用運(yùn)行崩潰的問題)
B、漏洞掃描出來的低危安全漏洞
C、漏洞掃描出來的高危安全漏洞
D、公司代碼審計(jì)平臺(tái)掃描出來的高危類安全問題
8、以下哪些操作可能引起敏感信息泄漏并不被允許的?
A、應(yīng)研發(fā)的要求將現(xiàn)場的客戶資料導(dǎo)出,未做脫敏處理提供研發(fā)做產(chǎn)品測試
B、協(xié)助客戶查詢工作中指定的用戶資料并將資料提供給客戶使用
C、對客戶資料按運(yùn)維手冊在監(jiān)管下定期做數(shù)據(jù)備份
D、應(yīng)研發(fā)的要求提供現(xiàn)場某一業(yè)務(wù)的建表腳本,用以搭建研發(fā)側(cè)的測試環(huán)境
9、以下關(guān)于版本上線后驗(yàn)證操作的說明錯(cuò)誤的是?
A、需要對版本上線后的業(yè)務(wù)進(jìn)行功能驗(yàn)證
B、需要對版本上線后的數(shù)據(jù)進(jìn)行稽核
C、需要對版本上線后的應(yīng)用運(yùn)行情況進(jìn)行跟蹤
D、版本上線前已做過功能測試,版本上線后可以馬上離場
10、關(guān)于部署方案或上線操作手冊說法錯(cuò)誤的是?
A、需要包含操作步驟
B、需要包含上線后的測試驗(yàn)證
C、需要包含上線失敗的回退方案
D、以上的3種都不需要包含
11、系統(tǒng)要求用戶設(shè)置密碼時(shí),以下哪項(xiàng)不符合安全要求?
A、F1re@Wall$2023
B、賬號(hào)是Admin@134,密碼設(shè)置和賬號(hào)一致
C、8Boat&Horse
D、P@ssw0rd2024!
12、如果管理后臺(tái)登錄界面缺少驗(yàn)證碼可能存在哪些危害?
A、暴力破解,獲取賬號(hào)密碼
B、一旦攻擊者成功登錄后臺(tái),易造成敏感信息泄露
C、攻擊者可以利用后臺(tái)進(jìn)行惡意操作
D、以上都對
13、在產(chǎn)品研發(fā)中,以下哪項(xiàng)行為是被禁止的?
A、留有后門
B、留有惡意程序
C、留有隱藏賬號(hào)和口令
D、所有上述行為
14、用戶定期更換密碼的好處有哪些?
A、降低密碼破解風(fēng)險(xiǎn)
B、防止密碼泄露
C、減少賬號(hào)被接管的風(fēng)險(xiǎn)
D、以上都對
15、作為系統(tǒng)管理員,你發(fā)現(xiàn)系統(tǒng)日志中有未經(jīng)授權(quán)的用戶訪問記錄。這些用戶通過修改URL和POST參數(shù)訪問了他們沒有權(quán)限查看的數(shù)據(jù)。你應(yīng)該采取什么措施來防止這種情況?
A、忽略這些記錄,因?yàn)樗鼈兛赡懿皇前踩珕栴}
B、如果訪問的不是敏感頁面,可以不用管
C、審查和加強(qiáng)權(quán)限驗(yàn)證機(jī)制,確保用戶只能訪問他們被授權(quán)的數(shù)據(jù)
D、允許這種訪問,因?yàn)樗@示了系統(tǒng)的靈活性
16、以下哪種資源在特定條件下可不經(jīng)額外授權(quán)直接用于商業(yè)用途?
A、具有版權(quán)的專業(yè)字體
B、受著作權(quán)保護(hù)的各類圖片
C、原創(chuàng)的文學(xué)或知識(shí)類文章
D、遵循開源協(xié)議的代碼
17、關(guān)于開源組件或開源代碼在項(xiàng)目中選型、采用,以下哪些選型的準(zhǔn)則不正確?
A、確保所選擇的開源組件的許可協(xié)議與你的項(xiàng)目要求兼容。特別是要注意GPL等具有傳染性的許可證可能會(huì)對整個(gè)項(xiàng)目的授權(quán)產(chǎn)生影響。
B、使用安全漏洞掃描工具來檢測已知的安全漏洞,并通過靜態(tài)分析工具檢查開源代碼的質(zhì)量,包括編碼規(guī)范、錯(cuò)誤處理機(jī)制等方面。
C、選擇那些有積極維護(hù)者和強(qiáng)大社區(qū)支持的項(xiàng)目,有良好的文檔可以幫助更好地理解和集成開源組件
D、只需要開源組件獲取的點(diǎn)贊或星多,可以直接在項(xiàng)目中使用,不需要經(jīng)過技術(shù)選型討論會(huì)或內(nèi)部的質(zhì)量場景對標(biāo)
18、應(yīng)用對外提供服務(wù)的接口應(yīng)該具備必要的安全防范能力。對于接口防遍歷的理解正確的是?
A、確保對外提供的服務(wù)有相應(yīng)的鑒權(quán)機(jī)制;特別是鑒權(quán)驗(yàn)證碼要?jiǎng)討B(tài)生成;
B、對外提供的服務(wù)要進(jìn)行脫敏,或者也可以將服務(wù)報(bào)文進(jìn)行對稱加密;
C、服務(wù)要保持將返回信息最小化符合請求方的要求;另外服務(wù)參數(shù)要有雙向驗(yàn)證機(jī)制,比如包含號(hào)碼+實(shí)例ID,防止調(diào)用端簡單模擬入?yún)⑦M(jìn)行遍歷;
D、應(yīng)用服務(wù)部署主機(jī)或者負(fù)載側(cè)需要增加白名單限制訪問入口
19、重復(fù)使用驗(yàn)證碼對賬戶安全沒有威脅。
對
錯(cuò)
20、為了確保驗(yàn)證過程的安全性,長連接的認(rèn)證和短連接的認(rèn)證都需要在服務(wù)端進(jìn)行。
對
錯(cuò)
21、用戶能夠訪問的數(shù)據(jù),只能是用戶管理權(quán)限下的,禁止通過修改url,post參數(shù)越權(quán)訪問其它數(shù)據(jù)。
對
錯(cuò)
22、禁止隱秘訪問方式包括隱藏賬號(hào)、隱藏口令、無鑒權(quán)的隱藏模式命令/參數(shù)、隱藏組合鍵訪問方式;隱藏的協(xié)議/端口/服務(wù);隱藏的生產(chǎn)命令/端口、調(diào)試命令/端口;不記錄日志的非查詢操作等。
對
錯(cuò)
23、客戶端提交數(shù)據(jù)是不可信的,不可信數(shù)據(jù)輸出到前后端頁面時(shí),根據(jù)業(yè)務(wù)場景需在服務(wù)端對其進(jìn)行二次驗(yàn)證。
對
錯(cuò)
24、禁止使用未經(jīng)授權(quán)和驗(yàn)證的代碼,因?yàn)槲唇?jīng)授權(quán)和驗(yàn)證的代碼可能包含惡意代碼,如病毒、木馬、間諜軟件和網(wǎng)絡(luò)攻擊等造成系統(tǒng)安全問題。
對
錯(cuò)
25、啟用登錄失敗鎖定策略是確保系統(tǒng)安全的有效措施之一。
對
錯(cuò)
26、登錄會(huì)話的Token/session可以不用設(shè)置超時(shí)機(jī)制
對
錯(cuò)
27、客戶保密信息和用戶敏感信息(姓名、證件、地址、賬單、用戶詳單、用戶位置等)屬于個(gè)人隱私的一部分,任何機(jī)構(gòu)和個(gè)人都不得擅自查看、使用或泄露。
對
錯(cuò)
28、軟件產(chǎn)品發(fā)布前不需要進(jìn)行安全漏洞掃描
對
錯(cuò)
29、無論是公司員工,還是客戶,都不允許在辦公區(qū)域吸煙,因?yàn)槲鼰熆赡芤鸹馂?zāi),特別是在封閉的辦公環(huán)境中,一旦發(fā)生火災(zāi),后果可能不堪設(shè)想。
對
錯(cuò)
30、禁止來路不明的人員遠(yuǎn)程控制是為了防止敏感信息丟失,如個(gè)人數(shù)據(jù)、公司機(jī)密等的丟失。
對
錯(cuò)
31、在生產(chǎn)時(shí)間內(nèi)對運(yùn)行中的系統(tǒng)進(jìn)行操作可能會(huì)引入新的風(fēng)險(xiǎn),如配置錯(cuò)誤、軟件沖突或硬件故障,這些風(fēng)險(xiǎn)可能導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰或業(yè)務(wù)中斷。
對
錯(cuò)
32、禁止生產(chǎn)事故、服務(wù)事件、安全事件隱瞞不報(bào)或延遲通報(bào),需第一時(shí)間向上通報(bào),延遲通報(bào)可能會(huì)導(dǎo)致問題擴(kuò)大,增加處理難度。
對
錯(cuò)
考試建議
關(guān)閉
更多問卷
復(fù)制此問卷