某单位需要开发一个网络,为了确保开发出安全的软件,软件开发商进行了OA系统的威胁建模,根据威胁建模,SQL注入是网站系统面临的攻击威胁之一,根据威胁建模的消减威胁的做法,以下哪个属于修改设计消除威胁的做法( )
(A)在编码阶段程序员进行培训,避免程序员写出存在漏洞的代码
(B)对代码进行严格检查,避免存在SQL注入漏洞的脚本被发布
(C)使用静态发布,所有面向用户发布的数据都使用静态页面
(D)在网站中部署防SQL注入脚本,对所有用户提交数据进行过滤
参考答案
继续答题:下一题
更多CISP证书试题
- 1在windos7中,通过控制面板(管理工具——本地安全策略——安全设置——账户策略)可以进入操作系统的密码策略设置界面,下面哪项内容不能在该界面进行设置( )。
- 2风险计算原理可以用下面的范式形式化地加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))以下关于上式各项说明错误的是( )
- 3数字证书的功能不包括:
- 4为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以接照等级保护工作的工作阶段大致分类,下面四个标准中, ( )规定了等级保护定级阶段的依据、对象、流程、施及等级变更等内容.
- 5在某信息系统的设计中,用户登录过程是这样的:(1)用户通过HTTP协议访问信息系统;(2)用户在登录页面输入用户名和口令(3)信息系统在服务器端检查用户名和密码正确性,如果正确,则鉴别完成。可以看出这个鉴别过程属于:
- 6最小特权是软件安全设计的基本原则,其应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?
