代码审计-第一章-作业
这门课的题目真是越来越抽象了
1.软件供应链安全的基础是(B )
A完善的需求分析
B源代码安全
C渗透测试
D软件测试
在软件开发中,确保源代码的安全性是至关重要的,因为它可以防止恶意代码的注入,从而保护整个供应链免受攻击。此外,其他选项如需求分析、渗透测试和软件测试也是确保软件质量和安全的重要组成部分,但源代码安全是构建安全软件供应链的基础
2.保证源代码安全的主要措施包括( ABCDE)
A发工具和环境的安全
B代码安全
C渗透测试
D代码审计
E软件的说明文档完整
保证源代码安全的主要措施包括:
B代码安全:确保代码本身不含有安全漏洞,如通过使用静态代码分析工具来检测潜在的安全问题。
D代码审计:定期进行代码审计,以检查代码质量和发现可能的安全隐患。
A发工具和环境的安全:使用安全的开发工具和环境,以防止恶意软件的注入。
C渗透测试:通过模拟攻击来测试软件的安全性,确保软件能抵御外部攻击。
E软件的说明文档完整:提供完整的软件文档,帮助理解软件的功能和限制,从而更好地进行安全配置和管理。
这些措施共同构成了一个全面的源代码安全策略,旨在从多个角度保护软件的安全性
3.通过(A ) 技术,实现源代码在终端、网络及服务器存储场景下全周期的安全管理,防止内部代码有意、无意泄露、扩散出去。
A数据加密
B数据脱敏
C数据安全隔离
D防火墙
通过 A数据加密 技术,可以实现源代码在终端、网络及服务器存储场景下全周期的安全管理。数据加密确保即使数据被非授权人员访问,也无法被理解,从而有效防止内部代码的有意或无意泄露和扩散。此外,其他措施如数据脱敏、数据安全隔离和防火墙也是保护源代码安全的重要技术,它们可以与数据加密技术相结合,提供更全面的保护
4.软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链( D) 从而遭受攻击,上游环节的安全问题会传递到下游环节并被放大。
A成本增加
B管理复杂
C被黑客盯上
D安全风险
软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链 D安全风险,从而遭受攻击。上游环节的安全问题会传递到下游环节并被放大。在软件供应链中,安全风险包括但不限于代码漏洞、第三方依赖问题、应用市场的安全性、公共存储库的安全管理等。这些风险因素可能导致供应链在各个环节都面临潜在的安全威胁
5.路径遍历、注入、NULL引用、资源管理、密码管理、API误用、 配置管理、( ABD) 等十类安全缺陷是程序员在编写软件代码时经常会出现的典型安全缺陷。
A输入验证
B跨站脚本
C安全培训
D日志伪造
在编写软件代码时,程序员可能会遇到的典型安全缺陷包括路径遍历、注入、NULL引用、资源管理、密码管理、API误用、配置管理,以及:
A输入验证:未能正确验证输入可能导致各种注入攻击,如SQL注入或跨站脚本攻击。
B跨站脚本:也称为XSS,攻击者通过在网页中注入恶意脚本,来欺骗用户。
D日志伪造:通过篡改日志文件,攻击者可以掩盖其活动或造成数据的误导。
因此,正确答案是 A输入验证、B跨站脚本 和 D日志伪造。这些安全缺陷需要通过适当的安全措施来预防和修复,以保护软件免受攻击
6.从漏洞的影响度来分析,在2021年影响范围最大的开源软件漏洞为CVE-2020-5421是(C ) 漏洞,影响了44.3%的软件项目。
A Google Guava访问控制错误
B FasterXML Jackson-databind代码问题
C Spring Framework安全
D Apache Log4j信任管理问题
在2021年,影响范围最大的开源软件漏洞为CVE-2020-5421,这是一个 Spring Framework安全 漏洞,影响了44.3%的软件项目1。这个漏洞的广泛影响凸显了开源软件在供应链安全中的重要性,以及及时更新和修补漏洞的必要性。
7.CVE. -2020-3947是一个存在于 (C ) 产品中vmnetdhcp服务里的UAF漏洞,VMware官方评估这是一 个极其严重的漏洞, CVSSv3评分为9.3。
Adocker
B计算
C VMware Workstation系列
D边缘计算
CVE-2020-3947是存在于 C VMware Workstation系列 产品中vmnetdhcp服务里的UAF漏洞。VMware官方评估这是一个极其严重的漏洞,CVSSv3评分为9.31。这个漏洞可能允许攻击者从客户机操作系统提升特权并在宿主机操作系统上执行代码,因此确保系统的及时更新和修补是非常重要的。
8.(A)是通过静态分析程序源代码,找出代码中存在的安全性问题。
A源代码审计
B软件测试
C模糊测试
D渗透测试
源代码审计是通过静态分析程序源代码,找出代码中存在的安全性问题的过程。它涉及检查源代码以识别可能导致软件漏洞的编码错误和安全缺陷。其他选项如软件测试、模糊测试和渗透测试也是软件安全测试的重要组成部分,但它们通常涉及动态分析,即在程序运行时检测问题。静态分析则在不运行程序的情况下进行,专注于源代码的分析
9.将测试代码运行起来,然后通过构造各种类型的测试数据来判断代码对数据的处理是否正常,以发现代码中存在的安全性问题。这种方式称为©
A源代码审计
B合规检查
C模糊测试
D漏洞检查
模糊测试是一种软件测试方法,它通过自动化或手动构造各种意外、随机或异常的测试数据,然后将这些数据输入到程序中,以观察程序是否能够正确处理这些数据。这种方法可以有效地发现代码中存在的安全性问题,如缓冲区溢出、异常处理错误等。其他选项如源代码审计、合规检查和漏洞检查也是重要的安全测试方法,但它们与模糊测试的方法和目的不同。模糊测试特别关注于通过异常数据来触发程序中未被发现的错误
10.软件的(D ) 通常指的是计算机程序或硬件系统中存在的任何类型的错误、故障或缺陷,这些错误可能会导致意外的结果或异常的系统行为,更多的是影响软件的功能性,比如包括编程错误、硬件故障、逻辑错误等。
A漏洞
B测试
C脆弱性
DBug
软件的 Bug 通常指的是计算机程序或硬件系统中存在的任何类型的错误、故障或缺陷,这些错误可能会导致意外的结果或异常的系统行为,更多的是影响软件的功能性,比如包括编程错误、硬件故障、逻辑错误等123。Bug是一个广义的概念,它包括了由于编程失误导致的漏洞,也包括了其他导致软件不按预期工作的问题
11.( B) 是一种对软件系统的源代码进行详细检查以发现潜在安全漏洞的过程,目的是发现并修复应用程序中的安全漏洞,确保应用程序
在发布之前没有漏洞。
A应用安全测试
B代码审计
C漏洞扫描
D渗透测试
12.代码审计岗位的主要职责包括:制定源代码安全规范;熟悉0WASP TOP10 ;熟练掌握主流的源代码审计工具,如(D ) 、Armorize CodeSecure. RIPS等;持续关注网安发展动向;出色的沟通技巧和语言表达能力、文档编写能力;团队协作精神和敬业精神。
A Nmap
B PingCode
C Metasploit
D Fortify SCA和Checkmanx
代码审计岗位的主要职责包括熟练掌握主流的源代码审计工具,如 Fortify SCA 和 Checkmarx,以及其他工具如Armorize CodeSecure 和 RIPS。这些工具帮助审计人员发现和修复应用程序中的安全漏洞,确保应用程序的安全性。正确答案是 D Fortify SCA和Checkmarx12。其他选项如Nmap和Metasploit虽然是安全领域内的知名工具,但它们主要用于网络扫描和漏洞利用,而不是源代码审计。PingCode不是一个广为人知的源代码审计工具。团队协作精神和敬业精神也是该岗位的重要职责,以及持续关注网络安全发展动向,具备出色的沟通技巧和文档编写能力。这些技能和知识共同构成了代码审计岗位的核心职责
13.(B) 是常见软件开发和硬件设计的安全漏洞列表,是安全工具的量尺,并且是弱点识别,缓解和预防工作的基准。
A CVE (Common Vulnerabilities & Exposures)
B CWE (CommonWeakness Enumeration)
C CVSS (Common Vulnerability Scoring System)
D CNNVD (China National Vulnerability Database of Information Security)
CWE 是一个社区开发的常见软件和硬件安全漏洞列表,它提供了一个通用语言,是安全工具的量尺,并且是弱点识别、缓解和预防工作的基准。CWE 旨在帮助软件开发和硬件设计专业人员识别和缓解常见的安全漏洞。CVE、CVSS 和 CNNVD 也是与安全相关的重要概念,但它们的主要用途和CWE不同。CVE 提供漏洞的公共名称,CVSS 为漏洞评分提供标准,而 CNNVD 是中国的国家信息安全漏洞库
14.漏洞是攻击面管理中的重要组成部分,下列词汇中,不属于漏洞库的是©
A CNVD
B CICSVD
C CCF
D CV
在提供的选项中,CCF 不属于漏洞库。CNVD 是中国的国家信息安全漏洞库,CICSVD 是国家工业信息安全漏洞库,而 CV 通常指的是漏洞编号(Common Vulnerabilities)。CCF 并没有在搜索结果中显示为已知的漏洞库,因此它不属于漏洞库的范畴
15.攻击者可利用跨站请求伪装漏洞假冒另- -用户发出未经授权的请求,即恶意用户盗用其他用户的身份使用特定资源。该漏洞是(B )
A XSS
B CSRF
C SSRF
D CNVD
该漏洞是 CSRF。跨站请求伪装(Cross-Site Request Forgery)是一种攻击方式,攻击者利用用户已登录的身份,在用户不知情的情况下,通过构造的恶意请求来执行非法操作,如更改密码、转账等12。这种攻击利用了网站对用户身份验证的信任,而用户本人并未发出这些请求。正确答案是 B CSRF。其他选项如XSS、SSRF和CNVD与此类攻击无关。XSS是跨站脚本攻击,SSRF是服务器端请求伪造,而CNVD是中国国家信息安全漏洞库的缩写,不是一种漏洞类型
