A.反射性、存储型
B.主动型和被动型
C.相同的Origin和不同的Origin
D.直接、间接
A."SELECT name FROM employees WHERE id = '" + id + "'"
B.String.format(SELECT name FROM employees WHERE id = '%s'", id)
C.connection.prepareStatement("SELECT name FROM emplyees WHERE id = ?")
D.builder.append("SELECT name FROM employees WHERE id = '").append(id).append("'")
A.将Cookie设置为httponly
B.为Cookie设置secure标志
C.限制该Cookie的作用范围
D.通过安全的信道传输Cookie
A.Common Vectors Enumeration(CVE)
B.Critical Security Controls
C.Common Vulnerability Scoring System(CVSS)
D.Common Weakness Enumeration(CWE)
A.可以令攻击者修改referer header的漏洞
B.攻击者控制多个网站的方法
C.攻击者可以在受害者不知情的情况下发送请求
D.攻击者可以更改已发送请求的漏洞
A.SameOrigin特性
B.ThirdPartyCookies特性
C.OriginatingSite特性
D.SameSite特性
A.日志分析
B.手动测试(渗透测试)
C.DAST
D.SAST
A.使用输入的XML中内嵌的DTD对XML的结构进行验证
B.使用JSON中的@type 字段指导反序列化工作。并对黑名单上的类型进行屏蔽
C.在验证JWT时完全相信aig指定的签名算法,并使用该算法验证JWT的签名
D.禁止输入XML中包含任何内联或外部的DTD或XSD,使用服务端定义的XSD对输入XML进行验证
private boolean scan(String tagName, String xml) throws XMLStreamException {
final XMLInputFactory factory = XMLInputFactory.newInstance();
final XMLStreamReader reader = factory.createXMLStreamReader(new ByteArrayInputStream(xml.getBytes()));
reader.next();
final boolean found = PayloadNameRequestWrapper.scanForChildTag(reader, tagName);
if (found) {
assertEquals("Found wrong tag", tagName, reader.getLocalName());
}
reader.close();
return found;
}
A.XXS
B.XXE
C.反序列化攻击
D.SQL Injection
A.威胁建模的架构图是划分层次的
B.威胁建模架构图中要标明组件之间的通讯机制
C.威胁建模架构图中要表明资产
D.威胁建模架构图中要标明用户