信管网试题库

第1题：

某电子商务网站最近发生了一起安全事件，出现了一个价值1000 元的商品用1 元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http 协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改．利用此漏洞，攻击者将价值1000 元的商品以1 元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是?（）

A．该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的闯题，应对全网站进行安全改造，所有的访问都强制要求使用https

B．该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施

C．该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决

D．该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

信管网参考答案：C

信管网参考解析:

10年品牌，软考办第3版指定教材作者面授+资深讲师近80小时系统精讲直播，针对基础薄弱在职人员，签订协议，高效取证

根据题目，攻击者将价值1000 元的商品以1 元添加到购物车中，而付款时又没有验证的环节，我们可以知道这起安全事件主要是因为付款没有进行验证，并非是因为协议、威胁建模的原因，而是因为编码缺陷，没有进行付款验证，因此修改编码，增加付款验证就可以解决

第2题：

In a public key infrastructure (PKI), which of the following may be relied upon to prove that an online transaction was authorized by a specific customer?

A、Nonrepudiation

B、Encryption

C、Authentication

D、Integrity

信管网参考答案：A

信管网参考解析:

10年品牌，软考办第3版指定教材作者面授+资深讲师近80小时系统精讲直播，针对基础薄弱在职人员，签订协议，高效取证

在一个公钥基础设施中，以下哪一种会被依赖来证明一个在线传输是被一个特定的客户发出的

A、不可否认性

B、加密

C、鉴证

D、真实性

注：不可否认性，实现通过使用数字签名，防止“claimed从那以后denying发生和他们的消息了。加密可以保护数据，在《传上网，但可能不做交易的，是这样。首先建立认证冰识别所有当事人的通信。ensures诚信交易是准确的，但不提供识别客户。