某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问,对于网站的这个问原因分析及解决措施。最正确的说法应该是?
(A)该问的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯,应对全网站进行安全改造,所有的访问都强制要求使用https
(B)该问产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
(C)该问的产生是由于编码缺陷,通过对网站进行修改,在进行订付款时进行商品价格验证就可以解决
(D)该问的产生不是网站的问,应报警要求寻求警察介入,严惩攻击者即可
参考答案
继续答题:下一题
更多CISP(注册信息安全专业人员)试题
- 1某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素
- 2为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中,()规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
- 3关于风险要素识别阶段工作内容叙述错误的是:
- 4信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面项中描述正确的是()。
- 5下列关于信息系统生命周期中安全需求说法不准确的是: