应根据情况综合采用多种输入验证的方法，以下输入验证方法需要采用（）。

多项选择题应根据情况综合采用多种输入验证的方法，以下输入验证方法需要采用（）。

A.检查数据是否符合期望的类型
B.检查数据是否符合期望的长度
C.检查数值数据是否符合期望的数值范围
D.检查数据是否包含特殊字符

1.多项选择题程序默认情况下应对所有的输入信息进行验证，不能通过验证的数据应会被拒绝。以下输入需要进行验证的是（）。

A.HTTP请求消息
B.第三方接口数据
C.不可信来源的文件
D.临时文件

2.多项选择题下列方法能保证业务日志的安全存储与访问的是（）。

A.将业务日志保存到WEB目录下
B.对业务日志进行数字签名来实现防篡改
C.日志保存期限应与系统应有等级相匹配
D.日志记录应采用只读方式归档保存

3.多项选择题下列属于WASC对安全威胁分类定义的类型有（）。

A.认证和授权类型
B.信息泄露类型
C.命令执行类型
D.逻辑攻击和客户端攻击类型

4.多项选择题软件输出应该限制返回给客户与业务办理无关的信息，防止把重点保护数据返回给不信任的用户，避免信息外泄，因此软件应有一套输出保护的方法，具体包括（）。

A.检查输出是否含有非必要的信息
B.检查输出是否含有不符合业务管理规定的信息
C.检查输出是否有重点保护数据
D.输出返回信息应尽可能精简，甚至只返回是或者否

5.多项选择题根据“没有明确允许的就默认禁止”原则，软件不应包含只是在将来某个时间需要但需求说明书中没有包括的功能，软件在最小功能建设方面应遵循如下原则，包括（）。

A.可以运行未明确定义的功能
B.系统调用只在确实需要的时候
C.只有在上一个任务完成后才开始下一个任务
D.只有在确实需要的时候访问数据

6.多项选择题异常信息包含了针对开发和维护人员调试使用的系统信息，为了避免攻击者发现潜在缺陷并进行攻击的情况，在设计异常信息时应注意（）。

A.使用结构化异常处理机制
B.程序发生异常时，应终止当前业务，并对当前业务进行回滚操作
C.通信双方中一方在一段时间内未作反应，另一方应自动结束回话
D.程序发生异常时，应在日志中记录详细的错误消息

7.多项选择题操作参数攻击是一种更改在客户端和WEB应用程序之间发送的参数数据的攻击，为了避免参数攻击，应注意（）。

A.避免使用包含敏感数据或者影响服务器安全逻辑的查询字符串参数
B.使用会话标识符来标识客户端，并将敏感项存储在服务器上的会话存储区中
C.禁止使用HTTP GET方式
D.加密查询字符串参数

8.多项选择题日志记录的事件宜包括（）。

A.审计功能的启动和关闭
B.配置变化
C.用户权限的变更
D.用户密码的变更及密码内容

9.多项选择题软件设计开发时应建立防止系统死锁的机制、异常情况的处理和恢复机制，具体包括（）。

A.错误和异常检测
B.断点保护
C.安全错误通知
D.错误和异常记录

10.多项选择题下列情形中会引起内存溢出的有（）。

A.未对缓存区填充数据时进行边界检查
B.系统资源未及时释放和服务连接未及时关闭
C.数据库查询操作，如果查询返回的结果较多时，未分次提取
D.每次内存分配未检查是否分配失败