以下哪些威胁类型涉及到应用程序开发人员在已向客户端公开的代码中留下对内部信息和配置的引用?()
A.敏感数据曝光
B.安全配置错误
C.不安全的直接对象引用
D.未经验证的重定向和转发
A.敏感数据曝光
B.安全配置错误
C.不安全的直接对象引用
D.未经验证的重定向和转发
A.威胁用户主机和网络的安全
B.有些病毒可以作为入侵的工具来使用,如特洛伊木马病毒
C.控制主机权限、窃取用户数据,有些病毒甚至会对主机硬件造成破坏
D.可以轻易越过华为USG6000产品的防御
A.仅“威胁类型”为“入侵”时,威胁日志会显示CV编号的具体信息
B.查看威胁日志之前需要确保FW上已配置入侵防御、反病毒或攻击防范功能
C.在日志的“攻击取证”字段中,只有审计管理员有查看获取的数据包的权限
D.系统默认将病毒、网络攻击及僵木蠕的风险等级定义为“高”
A.核实该计算机应用程序在正常工作时间结束之后能接受更新版本,以防止干扰工作
B.确保该计算机应用程序已就是否应该接受更新版本询问所有用户
C.确保该计算机应用程序无法用于在工作站执行安装更新版本以外的其他命令
D.核实该计算机应用程序只接受最新的更新版本
B.诱捕探针具备业务仿真功能
C.在诱捕器和诱捕探针部署在同一台防火墙上的组网模式下,诱捕不需要CIS和SecoManager,可以直接通过FW完成威胁闭环联动
D.诱捕系统可针对每个攻击者生成可溯源的唯一指纹,能够记录黑客IP、操作系统、浏览器类型、攻击武器类型等信息
A.测试由独立的测试员完成会发现更多的缺陷
B.与开发人员相比,独立的测试员更可能会识别出不同类型的失效,因为他们有不同的背景,技术视角和观察
C.独立的测试员会使用专业的软件测试技术,而其他角色不会使用
D.独立的测试员的测试覆盖效率会更高