A.只要你登陆一个站点A且没有退出,则任何页面都可以发送一些你有权限执行的请求并执行
B.站点A的会话持续的时间越长,收到跨站请求伪造攻击的概率就越大
C.目标站点的功能采用GET还是POST并不重要,只不过POST知识加大了一点点跨站请求伪造的难度而已
D.有时候复杂的表单采用多步提交的方式防止跨站请求伪造攻击其实并不可靠,因为可以发送多个请求来模拟多步提交
您可能感兴趣的试卷
你可能感兴趣的试题
A.用户无需授权访问其他用户的资料
B.用户无需授权访问支持系统文件资料
C.修改数据库信息
D.用户无需授权访问权限外信息
A.窃取用户凭证和会话信息
B.冒充用户身份查看或者变更记录,甚至执行事务
C.访问未授权的页面和资源
D.执行超越权限操作
A.非法获取系统信息
B.得到数据库用户名和密码
C.获取配置文件信息
D.获得整个系统的权限
A.缓冲区溢出
B.跨站脚本
C.SQL注入
D.信息泄露
A.存储密码是用SHA-256等健壮哈希算法进行处理
B.使用足够强度的加密算法
C.产生的密钥不应与加密信息一起存放
D.严格控制对加密存储的访问
A.自定义出错页面,统一错误页面提示
B.安装最新版本的软件及最小化按照(只安装需要的组件)
C.避免使用默认路径,修改默认账号和密码,禁用预设账号
D.使用参数化查询语句
A.服务器没有及时安全补丁
B.没有对用户输入数据进行验证
C.没有对系统输出数据进行处理
D.网站没有禁止目录浏览功能
A.验证输入数据类型是否正确
B.使用白名单对输入数据进行验证
C.使用黑名单对输入数据进行安全检查或过滤
D.对输出数据进行净化
A.上传文件类型应遵循最小化原则,仅允许上传必须的文件类型
B.上传文件大小限制,应限制上传文件大小的范围
C.上传文件保存路径限制,过滤文件名或路径名中的特殊字符
D.应关闭文件上传目录的执行权限
A.对错误信息进行规整和清理后在返回到客户端
B.禁止将详细错误信息直接反馈到客户端
C.应只向客户端返回错误码,详细错误信息可记录在后台服务器
D.可将错误信息不经过处理后返回给客户端
最新试题
在安全编码中,需要对用户输入进行输入处理,下列处理中()是输入处理。
()是应用程序的安全配置。
()不能有效的进行数据保护。
()是有失效的身份认证和会话管理而造成的危害。
应用系统并非需要对所有数据都进行加密保护,下列用户信息中()一定需要进行加密保护。
日志记录的事件宜包括()。
()是不安全的直接对象引用而造成的危害。
下列能解决安全配置错误的是()。
()漏洞是由于没有对输入数据进行验证而引起的。
异常信息包含了针对开发和维护人员调试使用的系统信息,为了避免攻击者发现潜在缺陷并进行攻击的情况,在设计异常信息时应注意()。