計(jì)算機(jī)Web應(yīng)用審計(jì)考試題及答案

一、單項(xiàng)選擇題（每題2分，共10題）1.Web應(yīng)用審計(jì)中，以下哪種工具常用于漏洞掃描？A.WordB.NmapC.ExcelD.Photoshop答案：B2.以下屬于Web應(yīng)用常見(jiàn)漏洞的是？A.系統(tǒng)藍(lán)屏B.SQL注入C.打印機(jī)卡紙D.硬盤(pán)損壞答案：B3.審計(jì)時(shí)，檢查Web應(yīng)用登錄頁(yè)面，重點(diǎn)關(guān)注？A.頁(yè)面顏色B.登錄功能邏輯C.圖片質(zhì)量D.廣告數(shù)量答案：B4.用于檢查Web服務(wù)器配置信息的命令是？A.dirB.whoamiC.netstatD.nslookup答案：C5.以下哪個(gè)不屬于Web應(yīng)用審計(jì)內(nèi)容？A.數(shù)據(jù)庫(kù)備份B.網(wǎng)絡(luò)拓?fù)銫.用戶(hù)權(quán)限D(zhuǎn).頁(yè)面布局答案：D6.Web應(yīng)用審計(jì)的目的不包括？A.發(fā)現(xiàn)安全漏洞B.優(yōu)化性能C.增加功能D.確保合規(guī)答案：C7.對(duì)Web應(yīng)用進(jìn)行滲透測(cè)試的主要方法是？A.黑盒測(cè)試B.白盒測(cè)試C.灰盒測(cè)試D.以上都有答案：D8.審計(jì)時(shí)，檢測(cè)Web應(yīng)用是否存在跨站腳本攻擊漏洞可使用？A.瀏覽器插件B.文本編輯器C.殺毒軟件D.防火墻答案：A9.評(píng)估Web應(yīng)用安全性的重要指標(biāo)是？A.訪(fǎng)問(wèn)速度B.代碼行數(shù)C.漏洞數(shù)量D.頁(yè)面大小答案：C10.以下哪種技術(shù)可用于保護(hù)Web應(yīng)用免受攻擊？A.壓縮技術(shù)B.加密技術(shù)C.圖像編輯技術(shù)D.音頻處理技術(shù)答案：B二、多項(xiàng)選擇題（每題2分，共10題）1.Web應(yīng)用審計(jì)涵蓋的方面有（）A.網(wǎng)絡(luò)安全B.性能優(yōu)化C.功能完整性D.界面設(shè)計(jì)答案：ABC2.常見(jiàn)的Web應(yīng)用漏洞類(lèi)型包括（）A.暴力破解漏洞B.信息泄露漏洞C.權(quán)限繞過(guò)漏洞D.圖片格式錯(cuò)誤漏洞答案：ABC3.審計(jì)Web應(yīng)用數(shù)據(jù)庫(kù)時(shí)，關(guān)注要點(diǎn)有（）A.數(shù)據(jù)完整性B.數(shù)據(jù)加密C.訪(fǎng)問(wèn)控制D.表結(jié)構(gòu)答案：ABCD4.用于Web應(yīng)用審計(jì)的工具包括（）A.BurpSuiteB.OWASPZAPC.SnortD.Metasploit答案：ABD5.Web應(yīng)用性能審計(jì)指標(biāo)有（）A.響應(yīng)時(shí)間B.并發(fā)用戶(hù)數(shù)C.吞吐量D.頁(yè)面跳轉(zhuǎn)次數(shù)答案：ABC6.審計(jì)Web應(yīng)用安全配置時(shí)，檢查內(nèi)容有（）A.防火墻規(guī)則B.服務(wù)器端口C.日志記錄D.網(wǎng)站地圖答案：ABC7.檢測(cè)Web應(yīng)用代碼安全的方法有（）A.靜態(tài)代碼分析B.動(dòng)態(tài)代碼分析C.代碼行數(shù)統(tǒng)計(jì)D.代碼注釋檢查答案：AB8.以下哪些屬于Web應(yīng)用審計(jì)流程步驟（）A.信息收集B.漏洞掃描C.風(fēng)險(xiǎn)評(píng)估D.報(bào)告撰寫(xiě)答案：ABCD9.保障Web應(yīng)用安全的措施有（）A.定期更新系統(tǒng)B.加強(qiáng)用戶(hù)認(rèn)證C.進(jìn)行數(shù)據(jù)備份D.關(guān)閉服務(wù)器答案：ABC10.審計(jì)Web應(yīng)用日志的作用有（）A.發(fā)現(xiàn)異常行為B.追蹤用戶(hù)操作C.優(yōu)化系統(tǒng)性能D.確定系統(tǒng)故障答案：ABD三、判斷題（每題2分，共10題）1.Web應(yīng)用審計(jì)只需要關(guān)注安全問(wèn)題。（×）2.SQL注入漏洞主要危害數(shù)據(jù)庫(kù)安全。（√）3.審計(jì)時(shí)無(wú)需關(guān)注Web應(yīng)用的兼容性。（×）4.漏洞掃描工具可以檢測(cè)出所有Web應(yīng)用漏洞。（×）5.加強(qiáng)用戶(hù)認(rèn)證可以有效提高Web應(yīng)用安全性。（√）6.性能審計(jì)對(duì)Web應(yīng)用的運(yùn)行影響不大。（×）7.審計(jì)Web應(yīng)用不需要了解其業(yè)務(wù)邏輯。（×）8.對(duì)Web應(yīng)用的安全配置檢查可有可無(wú)。（×）9.代碼審查是Web應(yīng)用審計(jì)的重要環(huán)節(jié)。（√）10.Web應(yīng)用審計(jì)報(bào)告不需要給非技術(shù)人員看。（×）四、簡(jiǎn)答題（每題5分，共4題）1.簡(jiǎn)述Web應(yīng)用審計(jì)的主要目標(biāo)。答案：發(fā)現(xiàn)安全漏洞，確保系統(tǒng)安全；評(píng)估功能完整性，保障業(yè)務(wù)正常運(yùn)行；檢查性能指標(biāo)，實(shí)現(xiàn)高效運(yùn)行；確認(rèn)是否符合相關(guān)法規(guī)和標(biāo)準(zhǔn)。2.列舉兩種檢測(cè)Web應(yīng)用SQL注入漏洞的方法。答案：一是使用專(zhuān)業(yè)漏洞掃描工具，如BurpSuite、OWASPZAP進(jìn)行檢測(cè)；二是手動(dòng)測(cè)試，在輸入框輸入特殊SQL語(yǔ)句，觀(guān)察系統(tǒng)反應(yīng)判斷是否存在漏洞。3.說(shuō)明Web應(yīng)用性能審計(jì)包含哪些內(nèi)容？答案：包含響應(yīng)時(shí)間，即用戶(hù)請(qǐng)求到得到響應(yīng)的時(shí)長(zhǎng)；并發(fā)用戶(hù)數(shù)，系統(tǒng)能同時(shí)處理的用戶(hù)數(shù)量；吞吐量，單位時(shí)間內(nèi)系統(tǒng)處理的請(qǐng)求數(shù)量等內(nèi)容。4.簡(jiǎn)述審計(jì)Web應(yīng)用安全配置時(shí)的重點(diǎn)檢查方向。答案：重點(diǎn)檢查防火墻規(guī)則是否合理，能否阻擋非法訪(fǎng)問(wèn)；服務(wù)器端口設(shè)置是否安全，有無(wú)不必要端口開(kāi)放；日志記錄是否完整，便于追蹤異常。五、討論題（每題5分，共4題）1.討論Web應(yīng)用審計(jì)中自動(dòng)化工具和人工審計(jì)各自的優(yōu)勢(shì)。答案：自動(dòng)化工具效率高，能快速掃描大量漏洞，覆蓋范圍廣。但可能有漏報(bào)誤報(bào)。人工審計(jì)可深入分析業(yè)務(wù)邏輯，發(fā)現(xiàn)復(fù)雜隱蔽問(wèn)題，能結(jié)合實(shí)際情況評(píng)估風(fēng)險(xiǎn)，但效率低、成本高。二者結(jié)合效果更佳。2.分析Web應(yīng)用中用戶(hù)認(rèn)證環(huán)節(jié)審計(jì)的要點(diǎn)及重要性。答案：要點(diǎn)包括認(rèn)證方式是否安全、密碼強(qiáng)度要求、多因素認(rèn)證等。重要性在于保障用戶(hù)賬戶(hù)安全，防止非法登錄，保護(hù)用戶(hù)數(shù)據(jù)和系統(tǒng)安全，是Web應(yīng)用安全的關(guān)鍵防線(xiàn)。3.探討如何通過(guò)審計(jì)提升Web應(yīng)用的安全性和性能。答案：通過(guò)審計(jì)發(fā)現(xiàn)安全漏洞并修復(fù)，優(yōu)化配置增強(qiáng)安全防護(hù)。性能方面，分析性能瓶頸，如數(shù)據(jù)庫(kù)查詢(xún)優(yōu)化、代碼優(yōu)化