某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE是微软SDL中提出的威胁建模方法,将威胁分为6类,为每一类威胁提供了标准的消减措施,spoofing是STRIDE中欺骗类的威胁。以下威胁中哪个可以归入此类威胁()
A.网站竞争对手可能雇佣攻击者实施DDOS攻击,降低网站访问速度;
B.网站使用http协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等;
C.网站使用http协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D.网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等
第1题
A.某用户在登录系统并下载数据后,却声称我没有下载过数据"软件R威胁
B.对于R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术
C.R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
D.解决R威胁,也应按照确定建模对象,识别威胁,评估威胁以及消减威胁等四个步骤来进行
第3题
A.某用户在登录系统并下载数据后,却声称“我没有下载过数据软件 R 威胁
B.某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于 R 威胁。
C.对于 R 威胁,可以选择使用如强认证、数字签名、安全审计等技术
D.对于 R 威胁,可以选择使用如隐私保护、过滤、流量控制等技术
第4题
A.该问题的产生是由于使用了不安全的协议导致的,为了避免再发生类似的闯题,应对全网站进行安全改造,所有的访问都强制要求使用 https
B.该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位,没有找到该威胁并采取相应的消减措施
C.该问题的产生是由于编码缺陷,通过对网站进行修改,在进行订单付款时进行商品价格验证就可以解决
D.该问题的产生不是网站的问题,应报警要求寻求网警介入,严惩攻击者即可
第7题
A.威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
B.评估威胁是对威胁进行分析,评估被利用和攻击发生的概率,了解被攻击后资产的受损后果,并计算风险
C.消减威胁是根据威胁的评估结果,确定是否要消除该威胁以及消减的技术措施,可以通过重新设计直接消除威胁,或设计采用技术手段来消减威肋
D.识别威胁是发现组件或进程存在的威胁,它可能是恶意的,也可能不是恶意的,威胁就是漏洞
第10题
A.由计算机信息系统面临的最高威胁确定
B.由计算机信息系统面临的最大概率的威胁确定
C.由计算机信息系统面临的最低威胁确定
D.由计算机信息系统面临的最长时间威胁确定
