某电子商务网站最近发生了一起安全事件,出现了一个价値1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改.利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施.最正确的说法应该是?
(A)该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的问题,应对全网站进行安全改造,所有的访问都强制要求使用https
(B)该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
(C)该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
(D)该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可
参考答案
继续答题:下一题
更多CISP证书试题
- 1Linux系统文件的访问权限属性通过9个字符来表示,分别表示文件属主,文件所属组用户和其他用户对文件的读(r),写(w)及执行(x)的权限,文件usr/bin/passwd的属性信息如下图所示,在文件权限还出现了一个s,下列选项中对这一位s的理解正确的是:-r-s—x—x 1 root root 10704 Apr 20 11:55 /usr/bin/passwd
- 2按照我国信息安全等级保护有关政策和标准,有些信息系统只需要自主定级,自主保护,按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查,此类信息系统应属于:
- 3根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是:
- 4实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高,常见的方法有利用口令鉴别,令牌鉴别,指纹鉴别等。如图,小王在登陆某移动支付平台时,首先需要通过指纹进行鉴别,通过鉴别后,他才能作为合法用户使用自己的账户进行支付,转账等操作,这种鉴别方法属于下列选项中的:
- 5Linux系统的安全设置主要从磁盘上分区、账户安全设置、禁用危险服务、远程登录安全、用户鉴别安全、审计策略、保护root账户、使用网络防火墙的文件权限共10个方面来完成。小张在学习了Linux系统安全的相关知识后,尝试为自己计算机上的Linux系统进行安全配置。下列选项是他的部分操作。其中不合理的是()
- 6访问控制的实施一般包括两个步骤:首先要签别主体的合法身份,接着根据当前系统的访问控制规则授予用户相应的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制步骤中。标有数字的方框代表了主体、客体、访问控制实施部件和访问控制决策部件。下列选项中,标有数字1,2,3,4的方框分别对应的实体或部件正确的是( )。
