信管网每日一练
信息安全工程师 - 每日一练 导航

信息安全工程师案例分析每日一练试题(2023/3/9)

2023年03月10日来源:信管网 作者:cnitpm

信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题(2023/3/9)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2023/3/9

点击查看:更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容(2023/3/9)

阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
代码安全漏洞往往是系统或者网络被攻破的头号杀手。在C语言程序开发中,由于C语言自身语法的一些特性,很容易出现各种安全漏洞。因此,应该在C程序开发中充分利用现有开发工具提供的各种安全编译选项,减少出现漏洞的可能性。
【问题1】(4分)
图5-1给出了一段有漏洞的C语言代码(注:行首数字是代码行号),请问,上述代码存在哪种类型的安全漏洞?该漏洞和C语言数组的哪一个特性有关?

【问题2】(4分)
图5-2给出了C程序的典型内存布局,请回答如下问题。

(1)请问图5-1的代码中第9行的变量authenticated保存在图5-2所示的哪个区域中?
(2)请问stack的两个典型操作是什么?
(3)在图5-2中的stack区域保存数撕时, 其地址增长方向是往高地址还是往低地址更高?
(4)对于图5-1代码中的第9行和第10行代码的两个变量,哪个变量对应的内存地
【问题3】(6分)
微软的Visual Studio提供了很多安全相关的编译选项, 图5-3给出了图5-1中代码相关的工程属性页而的截图。请回答以下问题。

(1)请问图5-3中哪项配置可以有效缓解上述代码存在的安全漏洞?
(2)如果把图5-1中第10行代码改为char buffer[4];图5-3的安全编译选项是否还起作用?
(3)模糊测试是否可以检测出上述代码的安全漏洞?
信管网试题答案与解析:www.cnitpm.com/st/502465698.html

信管网考友试题答案分享:

信管网cnitpm594245345722:
问题1: 缓冲区溢出漏洞 不对数组越界进行检查 问题2: (1)stack (2)push和pop (3)高地址 (4)authenticated变量 问题3: (1)enable security check (2)不起作用 (3)可以检测出来

信管网来一个痛快的:
问题1: 缓冲区溢出,strcpy 问题2: stack pull和pop 低地址 security check 可以起作用 可以测出

信管网cnitpm581581752647:
1.1 缓冲区溢出<br>1.2和数组没有边界限定的特性有关<br>2.1stack<br>2.2 入栈和出栈<br>2.3往低地址更高<br>2.4authenticated<br>3.security check<br>3.2起作用<br>3.3可以。模糊测试可以用随机参数测试程序直至发现漏洞<br>

信管网liyazhou:
1.缓冲区溢出,strcpy有关 2.stack,压栈(push)、出栈(pop),高地址,buffer[8] 3.security check,起作用,可以发现上述代码的安全漏洞

信管网a981224:
问题一:缓冲区溢出、数组一个大小占固定空间 问题二: (1)initialized (2)入栈和出栈 (3)高方向 (4)authenticated 问题三: (1)general (2)不起作用 (3)可以

信管网试题答案与解析:www.cnitpm.com/st/502465698.html

温馨提示:因考试政策、内容不断变化与调整,信管网提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!

分享至:

信管网 - 信息系统项目管理专业网站

下载APP-在线学习

培训课程

0元畅享

考试题库

免费资料

客服咨询