首页技能鉴定安防职业注册信息安全专业人员(CISA,CISO,CISE)
(单选题)

某电子商务网站最近发生了一起安全事件,出现了一个价值1000元的商品用1元被买走的情况,经分析是由于设计时出于性能考虑,在浏览时使用Http协议,攻击者通过伪造数据包使得向购物车添加商品的价格被修改。利用此漏洞,攻击者将价值1000元的商品以1元添加到购物车中,而付款时又没有验证的环节,导致以上问题,对于网站的这个问题原因分析及解决措施。最正确的说法应该是()

A该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的问题,应对全网站进行安全改造,所有的访问都强制要求使用https

B该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施

C该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决

D该问题的产生不是网站的问题,应报警要求寻求警察介入,严惩攻击者即可

正确答案

来源:www.examk.com

答案解析

这起安全事件的产生是由于编码缺陷,通过对网站HTML进行修改,在进行订单付款时进行商品价格验证就可以解决。

相似试题

  • (单选题)

    某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?()

    答案解析

  • (单选题)

    某电子商务网站在开发设计时,使用了威胁建模方法来分折电子商务网站所面临的威胁,STRIDE是微软SDL中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing是STRIDE中欺骗类的威胁,以下威胁中哪个可以归入此类威胁?()

    答案解析

  • (单选题)

    安全专家在对某网站进行安全部署时,调整了Apache的运行权限,从root权限降低为nobody用户,以下操作的主要目的是()

    答案解析

  • (单选题)

    某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备()

    答案解析

  • (单选题)

    一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一家?()

    答案解析

  • (单选题)

    某组织的计算机安全事故应对团队(CSIRT)针对最近出现的威胁公布了详细的说明。IS审计师最担心用户可能会:()

    答案解析

  • (单选题)

    一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一个部门报案?()

    答案解析

  • (单选题)

    近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生,防范这种攻击比较有效的方法是()

    答案解析

  • (单选题)

    某网站为了开发的便利,SA连接数据库,由于网站脚本中被发现存在SOL注入漏洞,导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则()

    答案解析

快考试在线搜题