下列属于越权漏洞的修复方案()
A.基础安全架构,完善用户权限体系,要知道哪些数据对应哪些用户,哪些数据不应该由哪些用户操作
B.鉴权、服务端对请求的数据和当前用户身份做校验
C.不要直接使用对象的实名或关键字
D.对于可控参数进行严格的检查与过滤
A.基础安全架构,完善用户权限体系,要知道哪些数据对应哪些用户,哪些数据不应该由哪些用户操作
B.鉴权、服务端对请求的数据和当前用户身份做校验
C.不要直接使用对象的实名或关键字
D.对于可控参数进行严格的检查与过滤
第4题
A.越权漏洞分为水平越权和垂直越权
B.不需要登录即可访问到人员信息管理接口属于未授权漏洞
C.将用户信息如userid进行base64编码后放在Cookie中,后台从中获取身份信息
D.访问url时,先判断是否已做身份鉴别,再判断用户是否有该页面的访问操作权限
第6题
A.对用户网络中的资产进行自动发现并按照资产重要性进行分类
B.自动周期对网络资产的漏洞进行评估并将结果自动发送和保存
C.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案
D.根据漏洞修复方案,对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避
第9题
B、对于每一个需要授权访问的页面或servlet的请求都必须核实用户的会话标识是否合法、用户是否被授权执行这个操作,以防止URL越权
C、登录过程中,往服务器端传递用户名和口令时,必须采用HTTPS安全协议也就是带服务器端证书的SSL,只提供本机接入、登录,做设备管理使用的场景暂时不要求
D、使用主流Web安全扫描工具扫描Web服务器和Web应用,不存在“高”级别的漏洞
第10题