- httpd.conf是Apache的主配置文件
- 某网站向CA申请了数字证书,用户通过(CA的签名)来验证网站的真伪
- 项目管理方法的核心是风险管理与目标管理相结合
- 数据库的索引字段用于提高dbms的查找速度,因此不能加密
- 不是任何利用脚本插入实现攻击的漏洞都被称为XSS,因为还有另一种攻击方式:Injection(脚本注入)。跨站脚本攻击和脚本注入攻击的区别在于脚本注入攻击会把插入的脚本保存在被修改的远程Web页面中,如:sql injection,XPath injection。但是跨站脚本是临时的,执行后就消失了
- 内容安全策略:使用可信白名单,来限制网站只接受指定的资源。CSP可缓解广泛的内容注入漏洞,比如XSS、数据注入等
- 工控系统算法存在安全缺陷是算法安全漏洞,如状态估计算法缺失容忍攻击保护,从而导致状态估计不准确;CPU漏洞属于硬件漏洞;BIOS漏洞属于固件漏洞;开放接入漏洞实在无物理安全隔离措施的情况下接入互联网
- 访问控制机制由一组安全机制构成,构成要素主要有主题、参考监视器、客体、访问控制数据库、审计库。
- 主体是客体的操作实施者,实体通常是人、进程或者设备
- 强制访问控制是指系统根据主体和客体的安全属性,以强制方式控制主题对客体的访问
- 根据网络的功能和业务用途,将网络分为若干个小的子网(网段),或者是外部网和内部网,以避免各网之间多余的信息交换。例如,通过VLAN技术,可以把处于不同物理位置的节点,按照业务需要组成不同的逻辑子网。采用VLAN技术,不仅可以防止广播风暴的产生,而且也能提高交换式网络的整体性能和安全性
- 资产是电子商务网站,安全威胁是黑客攻击,安全脆弱性是RPC DCOM漏洞,安全影响是电子商务网站收到入侵,中断运行1天。根据风险计算的相乘法,风险风险值=安全事件发生的概率*安全事件的损失
- 缺陷的分类包括:功能缺陷、界面缺陷、文档缺陷、代码缺陷、算法错误、性能缺陷
- 黑盒测试:只需要提供测试目标地址,授权测试团队从指定的测试点进行测试
- 白盒测试:需要提供尽可能详细的测试对象信息,测试团队根据所获取的信息,制定特殊的渗透方案,对系统进行高级别的安全测试。该方法适合高级持续威胁者模拟
- 灰盒测试:需要提供部分测试对象信息,测试团队根据所获取的信息,模拟板不同级别的威胁者进行渗透测试,该方式适合手机银行和代码安全测试
- 职责分离原则是企业各部门及业务操作员之间责任和权限的相互分离机制。系统程序员访问系统软件时必然是责任和权限没有分离,既当裁判又当运动员
- 数字签名和多重校验的主要作用就是防篡改
- 软件安全能力成熟度模型分为5级:CMM1补丁修补、CMM2渗透测试安全代码评审、CMM3漏洞评估代码分析安全编码标准、CMM4软件安全风险识别SDLC实施不同安全检查点、CMM5改进软件安全风险覆盖率评估安全差距
- 系统日志SysEvent.evt、应用日志Appevent.evt、安全日志Secevent.evt