單項(xiàng)選擇題

某電子商務(wù)網(wǎng)站最近發(fā)生了一起安全事件，出現(xiàn)了一個(gè)價(jià)值1000元的商品用1元被買走的情況，經(jīng)分析是由于設(shè)計(jì)時(shí)出于性能考慮，在瀏覽時(shí)使用Http協(xié)議，攻擊者通過偽造數(shù)據(jù)包使得向購(gòu)物車添加商品的價(jià)格被修改。利用此漏洞，攻擊者將價(jià)值1000元的商品以1元添加到購(gòu)物車中，而付款時(shí)又沒有驗(yàn)證的環(huán)節(jié)，導(dǎo)致以上問題，對(duì)于網(wǎng)站的這個(gè)問題原因分析及解決措施。最正確的說(shuō)法應(yīng)該是（）

A.該問題的產(chǎn)生是由于使用了不安全的協(xié)議導(dǎo)致的，為了避免再發(fā)生類似的問題，應(yīng)對(duì)全網(wǎng)站進(jìn)行安全改造，所有的訪問都強(qiáng)制要求使用https
B.該問題的產(chǎn)生是由于網(wǎng)站開發(fā)前沒有進(jìn)行如威脅建模等相關(guān)工作或工作不到位，沒有找到該威脅并采取相應(yīng)的消減措施
C.該問題的產(chǎn)生是由于編碼缺陷，通過對(duì)網(wǎng)站進(jìn)行修改，在進(jìn)行訂單付款時(shí)進(jìn)行商品價(jià)格驗(yàn)證就可以解決
D.該問題的產(chǎn)生不是網(wǎng)站的問題，應(yīng)報(bào)警要求尋求警察介入，嚴(yán)懲攻擊者即可

你可能感興趣的試題

單項(xiàng)選擇題

如圖1所示，主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍？（）

A.10.0.0.0～10.255.255.255
B.172.16.0.0～172.31.255.255
C.192.168.0.0～192.168.255.255
D.不在上述范圍內(nèi)

單項(xiàng)選擇題

某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī)，為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享，由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項(xiàng)處理措施？（）

A.由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享，禁止總部提取日志進(jìn)行分析
B.為配合總部的安全策略，會(huì)帶來(lái)一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險(xiǎn)
C.日志的存在就是安全風(fēng)險(xiǎn)，最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志
D.只允許特定的IP地址從前置機(jī)提取日志，對(duì)日志共享設(shè)置訪問密碼且限定訪問的時(shí)間

你可能感興趣的試題

如圖1所示，主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍？（）

如圖1所示，主機(jī)A向主機(jī)B發(fā)出的數(shù)據(jù)采用AH或ESP的傳輸模式對(duì)流量進(jìn)行保護(hù)時(shí)，主機(jī)A和主機(jī)B的IP地址在應(yīng)該在下列哪個(gè)范圍？（）