单选题某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?()A渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞B渗透测试是用软件代替人工的一种测试方法,因此测试效率更高C渗透测试使用人工进行测试,不依赖软件,因此测试更准确D渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多

单选题
某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?()
A

渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞

B

渗透测试是用软件代替人工的一种测试方法,因此测试效率更高

C

渗透测试使用人工进行测试,不依赖软件,因此测试更准确

D

渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多

参考解析

解析: 暂无解析

相关考题:

单选题下列哪一种模型运用在JAVA安全模型中?()A白盒模型B黑盒模型C沙箱模型D灰盒模型
查看答案
单选题在审计购买新的计算机系统建议时,IS审计师首先要确定()。A明确的业务案例被管理层批准B符合公司安全标准C用户将参与计划的实施D新系统将满足所有功能用户的需要
查看答案
单选题价格在收费标准的基础上随着改变量增加而变化,任何例外必须通过人工批准。下面哪一种是最有效的自动控制帮助确定所有的价格例外都被审批()。A所有款项必须回显在在输入人员,由他们直观检查B超过正常范围的价格要输入两次,以便精确确认数据。C当输入例外价格并且打印时,系统发出蜂鸣声。D在价格例外处理时,必须输入二级密码
查看答案
单选题对IT部门的战略规划流程/程序的最佳描述是()A依照组织大的规划和目标,IT部门或都有短期计划,或者有长期计划BIT部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务要求的优先级的程序CIT部门的长期规划应该认识到组织目标、技术优势和规章的要求DIT部门的短期规划不必集成到组织的短计划内,因为技术的发展对IT部门的规划的推动,快于对组织计划的推动
查看答案
单选题在评估数据库应用系统的可移植性时,IS审计师应该审查()。A结构化语言(SQL)使用B其他系统的信息输入和输出处理过程C使用索引D所有实体都有有意义的名称和明确的主键字和外部关键字
查看答案
名词解释题光学字符识别
查看答案
单选题在审计报告确认发现的结果finding后,被审计方迅速采取了纠正行动。审计师应该()。A在最后报告中包括发现的结果,因为IS师要负责正确的审计报告包括所有的发现结果。B在最后的调查报告中不包括发现结果,因为审计报告仅仅包括未解决的发现结果C在最后的调查报告中不包括发现结果,因为在审计师审计期间,纠正行动已经被确认。D包括结果,仅仅在闭幕会议上讨论调查之用。
查看答案
单选题信息安全工程监理工程师不需要做的工作是()A编写验收测试方案B审核验收测试方案C监督验收测试过程D审核验收测试报告
查看答案
单选题在电信系统的审计期间,IS审计师发现传送到/自远程站点的数据被截获的风险非常高。降低此风险最有效的控制为:()A加密B回叫调制解调器C消息验证D专用租用线路
查看答案
单选题下列哪项是系统问责时不需要的?()A认证B鉴定C授权D审计
查看答案
单选题微型计算机上的软件和数据是否要保存到异地备份站点主要取决于()。A访问的简便性B风险评估C完备的标签D完备的文档
查看答案
单选题ISO/IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于()ABS7799-1BBS7799-2CITSECDCC
查看答案
单选题审计基于角色的访问控制系统(RBAC)时,信息系统审计师发现一些IT安全员工已经在某些服务器上具有修改或删除事务日志的管理系统管理员权限。以下哪个是该系统审计师应给的最佳建议?()A确保这些员工得到充分的监管B确保交易日志备份保留C实时控制以检测这些更改D确保在事务日志实时写入只能一次写入和多次读取的(WORM)驱动器
查看答案
名词解释题磁卡机读取机
查看答案
单选题为了实施业务影响分析来确定应用系统的关键性,需要咨询的重要的人群是?()A业务过程所有者BIT管理人员C高级业务管理人员D工业专家
查看答案
单选题下面哪一个最能直接受到网络性能监测工具的影响?()A完整性B可用性C完全性D保密性
查看答案
单选题检查入侵监测系统(IDS)时,IS审计师最关注的内容是()。A把正常通讯识别为危险事件的数量(误报)B系统没有识别出的攻击事件C由自动化工具生成的报告和日志D被系统阻断的正常通讯流
查看答案
单选题跨国公司的IS经理打算把现有的虚拟专用网升级,采用通道技术使其支持语音IP电话服务,那么,需要首要关注的是()。A服务的可靠性和质量B身份的验证方式C语音传输的保密D数据传输的保密
查看答案
单选题审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的()。A应用程序所有者不知道IT部门对系统实施的一些应用B应用数据每周只备份一次C应用开发文档不完整D信息处理设施没有受到适当的火灾探测系统的保护
查看答案
单选题以下哪些不属于脆弱性范畴?()A黑客攻击B操作系统漏洞C应用程序BUGD人员的不良操作习惯
查看答案
单选题TCP/IP协议簇是为实现异构网互连推出的协议规范,具有较好的开放性,Internet是在TP/IP协议簇的基础上构建的。但由于TCP/IP协议簇在设计初期过于关注其开放性和便利性,对安全性考虑较少,因此其中很多协议存在安全隐患。例如,攻击者可以利用TCP协议的三次握手机制实施DoS攻击,也可以通过猜测TCP会话中的序号来伪造数据包。那么上述例子中的情况可能发生在()。A应用层B传输层C网络层D链路层
查看答案
单选题在审查定义IT服务水平的过程控制时,信息系统审计师最有可能先与下列哪种人面谈()A系统编程人员B法律顾问C业务单位经理人员D应用编程人员
查看答案
单选题在对远程办公的安全规划中,应首先回答以下哪一个问题()。A什么数据是机密的B员工需要访问哪些系统和数据C需要何种访问方式D系统和数据的敏感性如何
查看答案
单选题系统审计日志不包括以下哪一项()A时间戳B用户标识C对象标识D处理结果
查看答案
单选题最小特权是软件安全设计的基本原则,其应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?()A软件在Linux下按照时,设定运行时使用nobody用户运行实例B软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账户连接数据库C软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号对日志表拥有权限。D为了保护软件在Windows下能稳定运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误
查看答案
单选题社会工程学定位在计算机信息安全工作链的最脆弱的环节,即“人”这个环节上,这些社会工程黑客在某黑客大会上成功攻入世界五百强公司,其中一名自称是为CSO杂志做安全调查,半小时内,攻击者选择了在公司工作两个月安全工程部门的合约雇员,在询问关于工作满意度以及食堂食物质量问题后,雇员开始透露其他信息,包括,操作系统,服务包,杀毒软件,电子邮件及浏览器,为对抗此类信息收集和分析,公司需要做的是:()A通过安全培训,使相关信息发布人员了解信息收集风险,发布信息采取最小化原则B减少系统对外服务的端口数量,修改服务旗标C关闭不必要的服务,部署防火墙,IDS等措施D系统安全管理员使用漏洞扫描软件对系统进行安全审计
查看答案
单选题下列对垮站脚本攻击(XSS)描述正确的是()。AXSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的BXSS攻击是DDOS攻击的一种变种CXSS.攻击就是CC攻击DXSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的
查看答案
名词解释题传输控制协议
查看答案
热门标签