A.限制身份认证cookie的到期时间
B.执行重要业务之前,要求用户提交额外的信息
C.使用一次性令牌
D.对用户输出进行处理
您可能感兴趣的试卷
你可能感兴趣的试题
A.只要你登陆一个站点A且没有退出,则任何页面都可以发送一些你有权限执行的请求并执行
B.站点A的会话持续的时间越长,收到跨站请求伪造攻击的概率就越大
C.目标站点的功能采用GET还是POST并不重要,只不过POST知识加大了一点点跨站请求伪造的难度而已
D.有时候复杂的表单采用多步提交的方式防止跨站请求伪造攻击其实并不可靠,因为可以发送多个请求来模拟多步提交
A.用户无需授权访问其他用户的资料
B.用户无需授权访问支持系统文件资料
C.修改数据库信息
D.用户无需授权访问权限外信息
A.窃取用户凭证和会话信息
B.冒充用户身份查看或者变更记录,甚至执行事务
C.访问未授权的页面和资源
D.执行超越权限操作
A.非法获取系统信息
B.得到数据库用户名和密码
C.获取配置文件信息
D.获得整个系统的权限
A.缓冲区溢出
B.跨站脚本
C.SQL注入
D.信息泄露
A.存储密码是用SHA-256等健壮哈希算法进行处理
B.使用足够强度的加密算法
C.产生的密钥不应与加密信息一起存放
D.严格控制对加密存储的访问
A.自定义出错页面,统一错误页面提示
B.安装最新版本的软件及最小化按照(只安装需要的组件)
C.避免使用默认路径,修改默认账号和密码,禁用预设账号
D.使用参数化查询语句
A.服务器没有及时安全补丁
B.没有对用户输入数据进行验证
C.没有对系统输出数据进行处理
D.网站没有禁止目录浏览功能
A.验证输入数据类型是否正确
B.使用白名单对输入数据进行验证
C.使用黑名单对输入数据进行安全检查或过滤
D.对输出数据进行净化
A.上传文件类型应遵循最小化原则,仅允许上传必须的文件类型
B.上传文件大小限制,应限制上传文件大小的范围
C.上传文件保存路径限制,过滤文件名或路径名中的特殊字符
D.应关闭文件上传目录的执行权限
![](https://static.ppkao.com/ppmg/img/appqrcode.png)
最新试题
()是有失效的身份认证和会话管理而造成的危害。
下列属于WASC对安全威胁分类定义的类型有()。
应根据情况综合采用多种输入验证的方法,以下输入验证方法需要采用()。
()是在进行加密存储时需要注意的事项。
下列措施中,()会造成信息泄露。
软件设计开发时应建立防止系统死锁的机制、异常情况的处理和恢复机制,具体包括()。
应用系统并非需要对所有数据都进行加密保护,下列用户信息中()一定需要进行加密保护。
()将引起文件上传的安全问题。
()漏洞是由于没有对输入数据进行验证而引起的。
下列措施中,()能帮助减少跨站请求伪造。