(单选题)
在审查一个基于web的软件开发项目的过程中,信息系统审计师意识到编程代码标准不是强制性的,并且代码的审查也很少执行。这将会最可能增加下列哪个选项发生的可能性:()
A缓冲区溢出
B暴力破解攻击
C分布式拒绝服务攻击
D战争拨号攻击
正确答案
答案解析
基于Web的应用程序代码,黑客通常是利用缓冲区溢出技术,因为缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。暴力攻击是用来破解密码。分布式拒绝服务攻击只是采用很多台计算机作为向目标发送信息的攻击源头,从而使被攻击者更加难以防范。战争拨号攻击使用扫描工具来破解PBX。点评:没有做代码审查,容易产生编程的漏洞,如sql注入、缓冲溢出、跨站脚本等
相似试题
(单选题)
在审查基于WEB的软件开发项目时,IS审计师发现没有强调编码规则,并且没有进行代码审核。这有可能增加以下哪种成功的可能性()。
(单选题)
在检查基于WEB的软件开发项目时,IS审计师发现其编程没遵循适当的编程标准,也没有认真检查这些源程序。这将增加如下哪一类攻击得手的可能性()。
(单选题)
项目开发过程中用来检测软件错误的对等审查活动称为()
(单选题)
审查完业务流程后,某大型组织正基于语音IP (VoIP)技术部署新的Web应用程序。要实施便于该VoIP Web应用程序安全管理的访问控制,以下哪项是最合适的方法?()
(单选题)
某组织正在开发基于Web的新应用程序来处理客户订单。应实施一下哪项安全措施来保护此应用程序不受黑客攻击?()
(单选题)
在应用程序开发项目的系统测试阶段,IS审计师应当审查:()
(单选题)
信息系统设计师在检查一个基于服务导向架构(SOA)原理的软件应用。第一步最好是?()
(单选题)
一个项目开发团队正在考虑在测试过程中使用生产数据。在将数据载入测试环境之前,该团队将其中的敏感数据元素清除。对于这种做法,IS审计师应额外关注下列哪一项? ()
(单选题)
在审查电子资金转帐系统(EFT)的结构时,IS审计师注意到技术架构基于集中处理方式,并且外包给国外处理。由于这些信息,下面哪一个结论是IS审计师最关注的()。