某网站在设计时经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在Web目录下导致了攻击者可以直接下载备份,为了发现系统中是否存在其他类似问题,以下哪种测试方法是最佳的测试方法:()。
A.模糊测试
B.源代码测试
C.渗透测试
D.软件功能测试
A.模糊测试
B.源代码测试
C.渗透测试
D.软件功能测试
A.应用程序接口条目和端点
B.漏洞的可能性和影响
C.漏洞的对策与缓解措施
D.用于应用程序盒攻击面分析的数据流程图
A.威胁建模有助于降低软件的攻击面
B.威胁建模可以一次性完成,不需要重复进行
C.威胁建模是一种风险管理模型
D.威胁建模在软件生命周期需求设计阶段就会介入
A.网站竞争对手可能雇佣攻击者实施DDos攻击降低网站访问速度
B.网站使用http协议进行浏览等操作未对数据进行加密可能导致用户传输信息泄漏例如购买的商品金额等
C.网站使用http协议进行浏览等操作无法确认数据与用户发出的是否一致可能数据被中途篡改
D.网站使用用户名密码进行登录验证攻击者可能会利用弱口令或其他方式获得用户密码以该用户身份登录修改用户订单等信息
A.威胁建模主要流程包括四步,确定建对象、识别威胁、评估威胁和消减威肋
B.评估威胁是对威胁进行分析,评估被利用和攻击发生的率,了解被攻击后资产的受模后果,并计算风险
C.消减威胁是根据评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除成胁,或设计采用技术手段来消减威胁
D.识别威胁是发现组件或进程存在的威验,它可能是故意的,也可能不是故意的,威胁就是漏洞
根据纲的要求,本章要求考生掌握面向对象分析与设计(继承、抽象、代理、封装、多态)和统一建模语言(UML)。由于面向对象方法已经成为软件开发的一种主要方法,从历年考试来看,面向对象的知识点考得越来越多(甚至超过了软件工程的分数),着重考查统一建模语言(UML)的知识。
(1)面向对象的主要特征除封装、继承外,还有(1)和(2)。通常,对象可由标识此对象的名、属性和(3)所组成。对象之间的服务请求是通过传递(4)来实现的。所有的对象可以分成为各种对象类,每个对象类都定义了一组(3)。有一种特殊的类称为抽象类,其主要特征是(5)。
A.一致性
B.完整性
C.动态联编
D.静态联编
A.工控安全LinSec利用“行为建模,智能安全”解决工业控制系统纵向数据互通所引发的安全问题,自下而上形成一个安全稳健的工业控制系统
B.网络安全NSec利用“网络重构,安全伸缩”解决工业企业横向联接所面临的安全问题,形成一个广阔的上下游安全协同网络
C.云安全CSec利用“云网融合,弹性伸缩”解决工业云平台东西南北全连接所导致的安全问题,形成全方位安全的工业柔性云平台
D.安全态势感知CdSec利用“万物互联,数据分析”挖掘隐藏在工业大数据中的安全风险,全面感知工业生产全生命周期的安全态势
E.AI安全AiSec利用“+AI“构建纵深防御体系和”AI+“构建安全威胁免疫体系,形成高度智能化的工业互联网安全防护体系
A.著作权
B.专利权
C.商标权
D.肖像权