网站如何创建首页,电子商务网站建设实验总结,网站快速备案多少钱认证,2022拉新推广赚钱的app简记23年九月参加的泰山杯网络安全的部分基础知识的题目#xff0c;随时补充
1. 国密算法哪个属于公钥#xff1f;
SM2 a. 国产密码算法#xff08;国密算法#xff09;是指国家密码局认定的国产商用密码算法#xff0c;目前主要使用公开的SM2、SM3、SM4三类算法#x…简记23年九月参加的泰山杯网络安全的部分基础知识的题目随时补充
1. 国密算法哪个属于公钥
SM2 a. 国产密码算法国密算法是指国家密码局认定的国产商用密码算法目前主要使用公开的SM2、SM3、SM4三类算法分别是非对称算法、哈希算法和对称算法。 b. 非对称加密也称为公钥密码
2. 恶意插入HTML代码的方式
恶意插入HTML代码的方式:
a.直接注入恶意代码攻击者可以直接在HTML代码中注入恶意脚本当用户访问该页时恶意代码就会自动执行。这些脚本可以包括键盘记录器、恶意软件下载器、跨站脚本攻击XSS等。
b.通过输入框注入攻击者可以通过网站的输入框注入恶意脚本或HTML代码。例如当用户在搜索框中输入信息时攻击者可以注入恶意脚本或HTML代码使得用户在搜索结果页面中执行恶意代码。
c.通过表单注入攻击者可以在HTML表单中注入恶意脚本或HTML代码。当用户提交表单时恶意代码就会自动执行。这些脚本可以包括钓鱼攻击、恶意软件下载器等。
通过URL参数注入攻击者可以通过URL参数注入恶意脚本或HTML代码。例如当用户访问一个包含恶意代码的URL时该代码就会自动执行。这些脚本可以包括跨站脚本攻击XSS等。
d.利用跨站请求伪造CSRF攻击者可以利用跨站请求伪造CSRF漏洞在用户访问的页面中注入恶意脚本或HTML代码。当用户在该页面中执行某些操作时恶意代码就会自动执行。这些脚本可以包括跨站脚本攻击XSS等。3. 模糊测试基础知识
1.模糊测试是一种自动或半自动的测试技术常被用来发现软件、操作系统、网络的代码中的错误和安全性问题。
2.模糊测试是一种黑盒测试技术。(有问到是黑盒还是白盒测试)
原因主要是因为它不考虑程序的内部工作原理只从外部输入和输出信息来检测程序的功能是否按照需求规格说明书的规定正常运行。
3.模糊测试的执行过程可以分为以下几个阶段确定被测试目标构造畸形的输入数据将畸形的输入数据发送给被测试目标监视被测试目标的异常如系统崩溃或内置代码失败等。4. 信息安全风险等级
信息安全风险等级的最终因素是:B
A. 威胁和脆弱性 B. 影响和可能性 C. 资产重要性
影响指的是如果安全事件发生其可能导致的损失或破坏程度可能性则表示安全事件发生的概率或可能性。通过对这两个因素进行综合考虑可以评估出信息安全风险的程度或等级。5. DOI数字对象标识符系统
DOI数字对象标识符系统是一种用于标识和唯一识别数字对象的系统。
优点主要包括以下几点
唯一性DOI系统为每个数字对象分配一个唯一的标识符确保了数字对象的唯一性和准确性。
持久性DOI系统中的数字对象标识符是持久化的即不会随着时间的推移而改变。这有助于长期的数据管理和跟踪。
兼容性DOI系统具有良好的兼容性可以在不同的平台和系统中使用并且可以与现有的知识基础设施如ISBN、ISSN等进行互操作。
互操作性DOI系统支持跨平台和跨应用的数据交互和共享方便了数据的检索和使用。
动态更新DOI系统支持数字对象的动态更新例如添加新的数据或元数据或者修改现有的数据。
缺点主要包括以下几点
成本较高DOI系统的建设和维护需要一定的成本包括技术投入、人员培训、维护费用等。
技术复杂性DOI系统的技术含量较高需要一定的技术背景和理解才能使用和管理。
数据更新同步问题虽然DOI支持数字对象的动态更新但数据的更新同步并非即时的可能会导致数据的延迟或不一致。
隐私和安全问题由于DOI系统涉及大量的数字数据因此可能会引发隐私和安全问题。这需要投入更多的资源来进行管理和保护。6. 数据产权制度框架的三权分置
数据产权制度框架的三权分置是指数据资源持有权、数据加工使用权和数据产品经营权的分置。
数据资源持有权是指数据处理者对数据的持有、管理和防止侵害的权利。
数据加工使用权是指数据处理者对数据进行处理、加工和再利用的权利以满足数据的流通和应用需求。
数据产品经营权是指数据处理者将数据处理后的结果或数据产品进行经营、销售和使用的权利。7.手机中的金融借贷app的最小权限范围
根据相关国家标准金融借贷类App可以获取的最小权限范围为存储权限。除了存储权限之外的权限不属于必要权限即使用户拒绝也不应影响App的核心功能使用。
8.ping命令的TTL可以大致判断对端的
ping命令的TTLTime To Live可以大致判断对端的操作系统类型。 TTL是IP协议头中的一个字段用于控制数据包在网络中的生存时间。 在ping命令中TTL的值可以手动设置。 在Windows系统中默认的TTL值为128 而在Linux系统中默认的TTL值为64。
9.Oracle数据库删除表数据且无法回滚的操作是
在Oracle数据库中有两个命令可以删除表中的数据分别是DELETE和TRUNCATE。
DELETE命令用于删除表中的数据并且这个操作是可以回滚的可以使用ROLLBACK命令来撤销该操作恢复表中的数据。
另一方面TRUNCATE命令也可以删除表中的数据但是它无法回滚。
一旦执行了TRUNCATE命令表中的所有数据都会被永久删除无法恢复。10. 行排式二维条码有哪些
行排式二维条码的编码方式是在一个矩形空间中通过黑白像素在不同位置的排列来进行编码。
常见的有**Code 16K、Code 49和PDF417**等。
Code 16K是一种具有代表性的行排式二维条码被广泛运用在邮政包裹、物流运输、生产制造、资产管理等领域。
Code 49则是一种四方向行排式二维条码可适用于更多领域例如身份证件、医疗保健、珠宝首饰等。
而PDF417则被广泛应用于运输和物流行业以及文档和资产管理领域。11.常见的网络社会工程学攻击方式
网络社会工程学是一种利用人类心理和社会行为的弱点进行攻击的方法
其目的是突破防线获取情报或诱导目标进行某种操作。
常见的网络社会工程学攻击方式有以下五种
11. 伪装通过伪造电子邮件和假冒网站来诈骗用户提供个人信息或进行恶意操作。
12. 说服利用目标内部人员或与社会工程学使用者达成某种一致为其提供便利从而进行攻击。
13. 心理陷阱根据目标的特点和需求设置具有吸引力的陷阱诱导目标进行恶意操作或泄露机密信息。
14. 社会工程学钓鱼通过伪装成合法的网站或邮件诱使用户下载恶意软件或提供个人信息。
15. 信息搜集利用网络漏洞和目标疏忽获取目标的个人信息和系统密码等重要信息进而进行攻击。
总之网络社会工程学攻击方式多种多样威胁着网络安全和隐私需要加强防范措施提高安全意识。12. 用户登录个人网银通过输入账号、密码、验证码的登陆鉴别
属于单向还是双向鉴别 属于双向鉴别。在用户登录个人网银时银行网站会向用户发送一个验证码用户需要输入正确的验证码才能完成登录。同时银行也会对用户输入的账号和密码进行验证只有当用户输入的信息与银行数据库中的信息匹配时才能完成登录。因此这个过程是双向鉴别的即银行和用户都需要验证对方的信息。如果任何一方验证失败都无法完成登录。这种机制可以有效地保护用户的账户安全避免账户被未经授权的第三方使用。
13. 软件缺陷密度的计算如果30w行源代码有150个缺陷其缺陷密度为
0.5 缺陷密度Defect Density是指在一个给定的时间段内**每千行代码中发现的缺陷数量**。这个指标常常用于衡量软件开发过程中的质量。 50个缺陷 / 300,000行代码 0.005个缺陷/行代码 0.5个缺陷/千行代码 这是一个相对较高的缺陷密度可能意味着该软件的代码质量需要改进。
14. 单点登录的相关知识点
单点登录SSO技术是一种实现多系统、多应用之间用户身份认证的机制使用户在多个系统和应用中只需进行一次登录即可访问所有的授权资源。 单点登录技术的优点主要有以下几点
1. 提升安全性通过减少对多个密码的需求降低密码被盗用或伪造的风险同时减轻了管理员的负担降低了企业风险。
2. 简化用户操作用户只需在一个系统上进行登录就可以访问所有授权的系统和应用无需重复输入用户名和密码提高了用户体验。
3. 便于管理单点登录技术可以实现用户集中管理和统一授权方便管理员进行用户管理、权限分配和安全监控。
4. 提高效率通过单点登录技术企业可以节省在用户管理和权限分配上的时间和人力成本提高工作效率。SSO也存在一些安全风险
由于单点登录技术依赖于Cookie等会话管理机制如果Cookie被攻击者获取或者伪造就可能导致用户身份被冒用造成安全问题。
1.集中式风险由于用户只需一组凭据就可以访问多个应用程序和服务因此如果这组凭据被盗或泄露攻击者可能会获得对所有相关系统的访问权限这增加了潜在的安全风险。
2.信息传输缺乏安全保证在门户服务器与应用服务器通信过程中大多数方案采用明文形式传送敏感信息这些信息很容易被窃取致使重要信息泄露。另外在通信过程中大多数方案也没有对关键信息进行签名容易遭到伪装攻击。
