第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)問(wèn)界數(shù)據(jù)安全測(cè)試題及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.在問(wèn)界數(shù)據(jù)安全測(cè)試中，以下哪項(xiàng)不屬于“數(shù)據(jù)生命周期”階段？（）

A.數(shù)據(jù)采集

B.數(shù)據(jù)存儲(chǔ)

C.數(shù)據(jù)銷毀

D.數(shù)據(jù)可視化

2.根據(jù)問(wèn)界《數(shù)據(jù)安全管理制度》，處理敏感個(gè)人信息時(shí)，以下哪種方式符合最小必要原則？（）

A.允許員工將客戶資料用于非工作場(chǎng)景

B.僅在完成業(yè)務(wù)目標(biāo)所需范圍內(nèi)收集信息

C.定期向無(wú)關(guān)第三方提供用戶數(shù)據(jù)

D.使用自動(dòng)化工具批量收集所有可獲取信息

3.問(wèn)界測(cè)試中發(fā)現(xiàn)的“SQL注入”漏洞，其典型攻擊特征是？（）

A.通過(guò)物理接觸盜取服務(wù)器密碼

B.利用數(shù)據(jù)庫(kù)查詢語(yǔ)句執(zhí)行惡意操作

C.非法修改前端頁(yè)面源代碼

D.假冒管理員賬號(hào)登錄系統(tǒng)

4.在問(wèn)界數(shù)據(jù)加密測(cè)試中，AES-256與AES-128的主要區(qū)別在于？（）

A.加密速度（前者更快）

B.安全強(qiáng)度（前者更強(qiáng)）

C.支持平臺(tái)兼容性（后者更廣泛）

D.密鑰長(zhǎng)度（前者是后者的兩倍）

5.問(wèn)界系統(tǒng)日志中，以下哪項(xiàng)屬于“安全事件”記錄？（）

A.用戶登錄成功

B.數(shù)據(jù)庫(kù)備份完成

C.權(quán)限變更操作

D.API調(diào)用超時(shí)

6.根據(jù)問(wèn)界《等保2.0》要求，對(duì)于核心數(shù)據(jù)，以下哪項(xiàng)不屬于“加密存儲(chǔ)”范疇？（）

A.數(shù)據(jù)庫(kù)字段加密

B.磁盤卷加密

C.API傳輸加密

D.文件夾訪問(wèn)控制

7.問(wèn)界測(cè)試中，使用“BurpSuite”進(jìn)行滲透測(cè)試時(shí)，以下哪個(gè)模塊主要用于發(fā)現(xiàn)XSS漏洞？（）

A.Scanner

B.Repeater

C.Intruder

D.Intruders

8.在問(wèn)界數(shù)據(jù)脫敏測(cè)試中，“K-匿名”技術(shù)的主要目的是？（）

A.壓縮數(shù)據(jù)存儲(chǔ)空間

B.隱藏個(gè)人身份標(biāo)識(shí)

C.加速數(shù)據(jù)查詢效率

D.提高數(shù)據(jù)傳輸速度

9.問(wèn)界系統(tǒng)出現(xiàn)“權(quán)限繞過(guò)”問(wèn)題，其典型表現(xiàn)是？（）

A.用戶無(wú)法訪問(wèn)已授權(quán)資源

B.管理員賬號(hào)被鎖定

C.低權(quán)限用戶可執(zhí)行高權(quán)限操作

D.系統(tǒng)自動(dòng)重定向到錯(cuò)誤頁(yè)面

10.根據(jù)問(wèn)界《數(shù)據(jù)分類分級(jí)指南》，以下哪類數(shù)據(jù)屬于“核心數(shù)據(jù)”？（）

A.用戶注冊(cè)郵箱

B.產(chǎn)品價(jià)格清單

C.客戶交易流水

D.員工工時(shí)記錄

11.問(wèn)界測(cè)試中，發(fā)現(xiàn)某接口未使用HTTPS協(xié)議，以下哪個(gè)風(fēng)險(xiǎn)最高？（）

A.數(shù)據(jù)傳輸延遲增加

B.用戶登錄失敗率上升

C.敏感信息易被竊取

D.系統(tǒng)響應(yīng)速度變慢

12.根據(jù)問(wèn)界《應(yīng)急響應(yīng)預(yù)案》，數(shù)據(jù)泄露事件發(fā)生后，以下哪個(gè)步驟需最先執(zhí)行？（）

A.尋求媒體曝光

B.停止受影響服務(wù)

C.修改所有系統(tǒng)密碼

D.向監(jiān)管機(jī)構(gòu)舉報(bào)

13.問(wèn)界測(cè)試中，發(fā)現(xiàn)某腳本文件存在硬編碼密鑰，其危害主要在于？（）

A.代碼執(zhí)行效率低下

B.密鑰易被逆向工程

C.文件體積過(guò)大

D.無(wú)法跨平臺(tái)運(yùn)行

14.在問(wèn)界數(shù)據(jù)備份測(cè)試中，以下哪種策略屬于“熱備份”？（）

A.磁帶歸檔

B.云存儲(chǔ)同步

C.磁盤鏡像

D.紙質(zhì)文檔留存

15.問(wèn)界系統(tǒng)日志中，以下哪個(gè)字段不屬于“審計(jì)日志”范疇？（）

A.操作人ID

B.請(qǐng)求IP地址

C.客戶端瀏覽器型號(hào)

D.操作時(shí)間戳

16.根據(jù)問(wèn)界《數(shù)據(jù)跨境傳輸規(guī)范》，向境外提供客戶數(shù)據(jù)時(shí)，以下哪個(gè)文件是必須提供的？（）

A.產(chǎn)品說(shuō)明書

B.合規(guī)承諾書

C.市場(chǎng)推廣計(jì)劃

D.供應(yīng)商資質(zhì)證明

17.問(wèn)界測(cè)試中，發(fā)現(xiàn)某系統(tǒng)存在“越權(quán)訪問(wèn)”漏洞，其技術(shù)原理主要涉及？（）

A.會(huì)話固定攻擊

B.輸入驗(yàn)證失效

C.身份驗(yàn)證繞過(guò)

D.權(quán)限控制缺陷

18.在問(wèn)界數(shù)據(jù)銷毀測(cè)試中，以下哪種方法符合“物理銷毀”要求？（）

A.數(shù)據(jù)覆蓋寫入

B.服務(wù)器格式化

C.磁盤粉碎處理

D.云存儲(chǔ)刪除

19.問(wèn)界測(cè)試中，發(fā)現(xiàn)某數(shù)據(jù)庫(kù)存在“默認(rèn)賬戶”未禁用，其風(fēng)險(xiǎn)主要在于？（）

A.影響數(shù)據(jù)庫(kù)性能

B.增加備份負(fù)擔(dān)

C.存在未授權(quán)訪問(wèn)隱患

D.導(dǎo)致密碼頻繁重置

20.根據(jù)問(wèn)界《數(shù)據(jù)防泄漏方案》，以下哪種技術(shù)屬于“行為分析型”DLP？（）

A.文件內(nèi)容指紋識(shí)別

B.網(wǎng)絡(luò)流量阻斷

C.用戶行為模式學(xué)習(xí)

D.壓縮文件自動(dòng)解壓

二、多選題（共15分，多選、錯(cuò)選不得分）

21.問(wèn)界數(shù)據(jù)安全測(cè)試中，常見(jiàn)的“數(shù)據(jù)泄露途徑”包括？（）

A.第三方合作方違規(guī)使用

B.內(nèi)部員工惡意竊取

C.系統(tǒng)漏洞被利用

D.物理環(huán)境防護(hù)不足

22.根據(jù)問(wèn)界《等保2.0》要求，核心數(shù)據(jù)應(yīng)具備以下哪些安全屬性？（）

A.機(jī)密性

B.完整性

C.可用性

D.可追溯性

23.問(wèn)界測(cè)試中，發(fā)現(xiàn)某系統(tǒng)存在“CSRF攻擊”風(fēng)險(xiǎn)，其攻擊特征包括？（）

A.利用已認(rèn)證用戶會(huì)話

B.通過(guò)誘導(dǎo)用戶點(diǎn)擊惡意鏈接

C.需要復(fù)雜的代碼注入

D.易被WAF識(shí)別攔截

24.在問(wèn)界數(shù)據(jù)加密測(cè)試中，以下哪些場(chǎng)景需要使用“非對(duì)稱加密”？（）

A.文件傳輸加密

B.數(shù)據(jù)庫(kù)存儲(chǔ)加密

C.API接口認(rèn)證

D.一次性密碼生成

25.問(wèn)界測(cè)試中，發(fā)現(xiàn)某日志系統(tǒng)存在“日志篡改”風(fēng)險(xiǎn)，其危害包括？（）

A.無(wú)法追蹤安全事件

B.難以進(jìn)行事后追溯

C.增加審計(jì)成本

D.影響系統(tǒng)正常運(yùn)行

26.根據(jù)問(wèn)界《數(shù)據(jù)分類分級(jí)指南》，以下哪些屬于“一般數(shù)據(jù)”？（）

A.產(chǎn)品宣傳素材

B.員工培訓(xùn)文檔

C.客戶匿名調(diào)研結(jié)果

D.內(nèi)部會(huì)議紀(jì)要

27.問(wèn)界測(cè)試中，發(fā)現(xiàn)某系統(tǒng)存在“會(huì)話固定”漏洞，其攻擊流程包括？（）

A.攻擊者誘導(dǎo)用戶訪問(wèn)特定頁(yè)面

B.攻擊者記錄用戶會(huì)話ID

C.用戶繼續(xù)使用原始會(huì)話

D.攻擊者獲取用戶敏感信息

28.在問(wèn)界數(shù)據(jù)脫敏測(cè)試中，以下哪些技術(shù)屬于“基于模型”的脫敏方法？（）

A.K-匿名

B.L-多樣性

C.T-相近性

D.哈希加密

29.問(wèn)界測(cè)試中，發(fā)現(xiàn)某系統(tǒng)存在“權(quán)限繼承”問(wèn)題，其典型表現(xiàn)包括？（）

A.子模塊繼承父模塊權(quán)限

B.未授權(quán)用戶可訪問(wèn)關(guān)聯(lián)資源

C.權(quán)限分配過(guò)于寬泛

D.定時(shí)任務(wù)權(quán)限過(guò)高

30.根據(jù)問(wèn)界《應(yīng)急響應(yīng)預(yù)案》，數(shù)據(jù)泄露事件處置流程包括？（）

A.確認(rèn)泄露范圍

B.通知受影響用戶

C.法律合規(guī)配合

D.修復(fù)系統(tǒng)漏洞

三、判斷題（共10分，每題0.5分）

31.問(wèn)界數(shù)據(jù)加密測(cè)試中，使用“公鑰”加密數(shù)據(jù)后，只有持有“私鑰”的一方才能解密。（）

32.根據(jù)問(wèn)界《數(shù)據(jù)安全管理制度》，所有員工無(wú)需經(jīng)過(guò)培訓(xùn)即可處理敏感個(gè)人信息。（）

33.問(wèn)界測(cè)試中，發(fā)現(xiàn)某腳本存在“XSS攻擊”漏洞，屬于“SQL注入”類型。（）

34.在問(wèn)界數(shù)據(jù)備份測(cè)試中，使用“3-2-1”備份策略意味著需要3份數(shù)據(jù)、2種存儲(chǔ)介質(zhì)、1份異地存儲(chǔ)。（）

35.問(wèn)界系統(tǒng)日志中，用戶登錄失敗記錄屬于“安全事件”范疇。（）

36.根據(jù)問(wèn)界《等保2.0》要求，核心數(shù)據(jù)必須實(shí)現(xiàn)“不可抵賴性”認(rèn)證。（）

37.問(wèn)界測(cè)試中，發(fā)現(xiàn)某接口未使用HTTPS協(xié)議，屬于“數(shù)據(jù)傳輸不加密”風(fēng)險(xiǎn)。（）

38.在問(wèn)界數(shù)據(jù)脫敏測(cè)試中，使用“假名化”技術(shù)可以完全消除個(gè)人身份標(biāo)識(shí)。（）

39.問(wèn)界測(cè)試中，發(fā)現(xiàn)某系統(tǒng)存在“越權(quán)訪問(wèn)”漏洞，屬于“權(quán)限控制失效”類型。（）

40.根據(jù)問(wèn)界《數(shù)據(jù)跨境傳輸規(guī)范》，向境外提供客戶數(shù)據(jù)前，無(wú)需評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)。（）

四、填空題（共10空，每空1分）

41.問(wèn)界數(shù)據(jù)安全測(cè)試中，常用的滲透測(cè)試工具包括______和______。（工具名稱）

42.根據(jù)問(wèn)界《數(shù)據(jù)分類分級(jí)指南》，數(shù)據(jù)可分為_(kāi)_____、______和______三級(jí)。（分類名稱）

43.問(wèn)界測(cè)試中，發(fā)現(xiàn)某腳本存在“DOM型XSS”漏洞，其攻擊原理是利用______屬性未進(jìn)行過(guò)濾處理。（技術(shù)名稱）

44.在問(wèn)界數(shù)據(jù)備份測(cè)試中，使用______策略可以保證數(shù)據(jù)多點(diǎn)冗余。（策略名稱）

45.問(wèn)界系統(tǒng)日志中，記錄數(shù)據(jù)庫(kù)操作記錄的日志類型是______日志。（日志類型）

46.根據(jù)問(wèn)界《應(yīng)急響應(yīng)預(yù)案》，數(shù)據(jù)泄露事件處置流程遵循______、______、______、______的原則。（四個(gè)步驟）

47.問(wèn)界測(cè)試中，發(fā)現(xiàn)某接口存在“重放攻擊”風(fēng)險(xiǎn)，其攻擊特征是利用______重復(fù)發(fā)送合法請(qǐng)求。（攻擊類型）

48.在問(wèn)界數(shù)據(jù)脫敏測(cè)試中，使用______技術(shù)可以將敏感信息替換為近似值。（技術(shù)名稱）

49.問(wèn)界測(cè)試中，發(fā)現(xiàn)某系統(tǒng)存在“命令注入”漏洞，其危害是攻擊者可以執(zhí)行______命令。（命令類型）

50.根據(jù)問(wèn)界《數(shù)據(jù)跨境傳輸規(guī)范》，向境外提供客戶數(shù)據(jù)時(shí)，必須獲得______的明確授權(quán)。（授權(quán)類型）

五、簡(jiǎn)答題（共25分）

51.簡(jiǎn)述問(wèn)界數(shù)據(jù)安全測(cè)試中“滲透測(cè)試”的主要流程及各階段重點(diǎn)。（10分）

52.根據(jù)《問(wèn)界數(shù)據(jù)安全管理制度》，簡(jiǎn)述處理敏感個(gè)人信息的合規(guī)要求。（5分）

53.在問(wèn)界測(cè)試中，如何區(qū)分“SQL注入”與“XSS攻擊”漏洞，分別說(shuō)明其典型特征。（10分）

六、案例分析題（共20分）

某問(wèn)界系統(tǒng)在測(cè)試中發(fā)現(xiàn)以下問(wèn)題：

-用戶在注冊(cè)時(shí)，郵箱驗(yàn)證碼通過(guò)郵件明文發(fā)送；

-系統(tǒng)未記錄郵件發(fā)送日志；

-任意用戶可查看其他用戶的驗(yàn)證狀態(tài)（顯示“已驗(yàn)證”或“未驗(yàn)證”）。

請(qǐng)回答：

（1）分析上述問(wèn)題存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。（5分）

（2）提出至少3條修復(fù)建議，并說(shuō)明技術(shù)依據(jù)。（10分）

（3）結(jié)合問(wèn)界《數(shù)據(jù)跨境傳輸規(guī)范》，若該系統(tǒng)需向境外用戶提供服務(wù)，還需補(bǔ)充哪些措施？（5分）

參考答案及解析部分

參考答案及解析

一、單選題（共20分）

1.D

解析：數(shù)據(jù)生命周期包括采集、處理、存儲(chǔ)、傳輸、銷毀等階段，數(shù)據(jù)可視化屬于數(shù)據(jù)分析范疇，不屬于生命周期環(huán)節(jié)。

2.B

解析：最小必要原則要求僅收集完成業(yè)務(wù)目標(biāo)所需的最少信息，A、C、D選項(xiàng)均涉及過(guò)度收集或?yàn)E用數(shù)據(jù)，違反該原則。

3.B

解析：SQL注入是利用數(shù)據(jù)庫(kù)查詢語(yǔ)句執(zhí)行惡意操作，A是物理攻擊、C是前端攻擊、D是認(rèn)證繞過(guò)，B是典型特征。

4.B

解析：AES-256比AES-128安全性更高，通過(guò)更長(zhǎng)的密鑰實(shí)現(xiàn)更強(qiáng)的抗破解能力，A、C、D選項(xiàng)均錯(cuò)誤。

5.C

解析：權(quán)限變更屬于關(guān)鍵操作，需記錄在審計(jì)日志中，A、B、D選項(xiàng)均屬于常規(guī)操作記錄。

6.C

解析：API傳輸加密屬于“傳輸安全”范疇，A、B、D均屬于“存儲(chǔ)加密”范疇。

7.A

解析：BurpSuite的Scanner模塊專門用于發(fā)現(xiàn)Web應(yīng)用漏洞，包括XSS、SQL注入等，B、C、D模塊功能不同。

8.B

解析：K-匿名技術(shù)通過(guò)添加噪聲或泛化數(shù)據(jù)，隱藏個(gè)人身份標(biāo)識(shí)，A、C、D選項(xiàng)均描述其他脫敏技術(shù)。

9.C

解析：權(quán)限繞過(guò)允許低權(quán)限用戶執(zhí)行高權(quán)限操作，A是正常權(quán)限控制、B是賬戶安全措施、D是系統(tǒng)錯(cuò)誤。

10.C

解析：客戶交易流水屬于核心數(shù)據(jù)，A、B、D均屬于一般數(shù)據(jù)范疇。

11.C

解析：未使用HTTPS協(xié)議會(huì)導(dǎo)致數(shù)據(jù)在傳輸過(guò)程中明文傳輸，易被竊取，A、B、D選項(xiàng)描述其他影響。

12.B

解析：應(yīng)急響應(yīng)流程要求優(yōu)先停止受影響服務(wù)，防止損失擴(kuò)大，A、C、D選項(xiàng)均需后續(xù)執(zhí)行。

13.B

解析：硬編碼密鑰直接存儲(chǔ)在代碼中，易被逆向工程獲取，A、C、D選項(xiàng)描述其他問(wèn)題。

14.B

解析：熱備份是指實(shí)時(shí)同步數(shù)據(jù)，B符合該定義，A是冷備份、C是鏡像備份、D是歸檔備份。

15.C

解析：客戶端瀏覽器型號(hào)屬于非必要字段，A、B、D均屬于審計(jì)日志核心要素。

16.B

解析：合規(guī)承諾書是數(shù)據(jù)跨境傳輸?shù)谋貍湮募?，A、C、D選項(xiàng)均非法定要求。

17.D

解析：越權(quán)訪問(wèn)是權(quán)限控制缺陷導(dǎo)致，A是會(huì)話攻擊、B是輸入驗(yàn)證問(wèn)題、C是身份攻擊。

18.C

解析：磁盤粉碎處理屬于物理銷毀，A是邏輯刪除、B是格式化、D是云存儲(chǔ)刪除。

19.C

解析：默認(rèn)賬戶未禁用存在未授權(quán)訪問(wèn)隱患，A、B、D選項(xiàng)描述其他影響。

20.C

解析：行為分析型DLP通過(guò)學(xué)習(xí)用戶行為模式識(shí)別異常操作，A、B、D選項(xiàng)描述其他技術(shù)類型。

二、多選題（共15分）

21.ABCD

解析：數(shù)據(jù)泄露途徑包括第三方違規(guī)使用、內(nèi)部員工、系統(tǒng)漏洞、物理防護(hù)不足，均符合問(wèn)界測(cè)試場(chǎng)景。

22.ABCD

解析：核心數(shù)據(jù)需具備機(jī)密性、完整性、可用性、可追溯性四項(xiàng)屬性，均符合《等保2.0》要求。

23.AB

解析：CSRF攻擊利用已認(rèn)證用戶會(huì)話，通過(guò)誘導(dǎo)點(diǎn)擊惡意鏈接實(shí)現(xiàn)，C、D選項(xiàng)描述其他攻擊類型。

24.CD

解析：非對(duì)稱加密適用于認(rèn)證場(chǎng)景（C）和一次性密碼生成（D），A、B需要對(duì)稱加密。

25.ABC

解析：日志篡改會(huì)導(dǎo)致無(wú)法追蹤安全事件、增加審計(jì)成本，D選項(xiàng)描述系統(tǒng)功能影響。

26.ABC

解析：一般數(shù)據(jù)包括產(chǎn)品宣傳、員工培訓(xùn)、匿名調(diào)研，D屬于內(nèi)部數(shù)據(jù)。

27.ABC

解析：會(huì)話固定攻擊流程包括誘導(dǎo)用戶、記錄會(huì)話、利用原始會(huì)話、獲取信息，D選項(xiàng)描述其他攻擊。

28.ABC

解析：基于模型的脫敏技術(shù)包括K-匿名、L-多樣性、T-相近性，D屬于加密技術(shù)。

29.AB

解析：權(quán)限繼承會(huì)導(dǎo)致子模塊繼承父模塊權(quán)限、未授權(quán)訪問(wèn)關(guān)聯(lián)資源，C、D選項(xiàng)描述其他問(wèn)題。

30.ABCD

解析：數(shù)據(jù)泄露處置流程包括確認(rèn)范圍、通知用戶、法律配合、修復(fù)漏洞，均符合合規(guī)要求。

三、判斷題（共10分）

31.√

解析：公鑰加密的密鑰對(duì)特性決定只有私鑰持有者能解密，符合加密原理。

32.×

解析：根據(jù)《數(shù)據(jù)安全管理制度》，所有處理敏感數(shù)據(jù)的員工必須經(jīng)過(guò)合規(guī)培訓(xùn)。

33.×

解析：SQL注入針對(duì)數(shù)據(jù)庫(kù)查詢，XSS攻擊針對(duì)前端腳本，屬于不同類型漏洞。

34.√

解析：“3-2-1”備份策略指3份數(shù)據(jù)、2種介質(zhì)、1份異地存儲(chǔ)，符合行業(yè)標(biāo)準(zhǔn)。

35.√

解析：登錄失敗記錄屬于異常行為，屬于安全事件范疇。

36.×

解析：《等保2.0》要求核心數(shù)據(jù)實(shí)現(xiàn)機(jī)密性、完整性、可用性、可追溯性，不可抵賴性非強(qiáng)制要求。

37.√

解析：未使用HTTPS屬于數(shù)據(jù)傳輸不加密，易被竊取，符合定義。

38.×

解析：假名化通過(guò)替換標(biāo)識(shí)，但若關(guān)聯(lián)其他數(shù)據(jù)仍可能識(shí)別身份，無(wú)法完全消除。

39.√

解析：越權(quán)訪問(wèn)是權(quán)限控制失效的表現(xiàn)，符合定義。

40.×

解析：跨境傳輸前必須評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，符合《數(shù)據(jù)安全法》要求。

四、填空題（共10空）

41.Nmap、BurpSuite

解析：Nmap用于網(wǎng)絡(luò)掃描，BurpSuite用于Web應(yīng)用測(cè)試，均為常用滲透測(cè)試工具。

42.核心、一般、公開(kāi)

解析：?jiǎn)柦纭稊?shù)據(jù)分類分級(jí)指南》將數(shù)據(jù)分為三級(jí)，符合行業(yè)通用分類。

43.onclick

解析：DOM型XSS利用onclick等事件屬性未過(guò)濾處理導(dǎo)致攻擊，符合技術(shù)特征。

44.3-2-1

解析：3-2-1備份策略指3份數(shù)據(jù)、2種介質(zhì)、1份異地存儲(chǔ)，保證數(shù)據(jù)冗余。

45.數(shù)據(jù)庫(kù)

解析：數(shù)據(jù)庫(kù)操作記錄屬于審計(jì)日志范疇，需詳細(xì)記錄數(shù)據(jù)變更。

46.發(fā)現(xiàn)、評(píng)估、處置、總結(jié)

解析：應(yīng)急響應(yīng)流程遵循“發(fā)現(xiàn)-評(píng)估-處置-總結(jié)”四步原則。

47.狀態(tài)

解析：重放攻擊利用請(qǐng)求狀態(tài)（如token）重復(fù)發(fā)送合法請(qǐng)求，導(dǎo)致重復(fù)執(zhí)行。

48.數(shù)據(jù)泛化

解析：數(shù)據(jù)泛化將敏感信息替換為近似值，如將年齡泛化為“20-30歲”。

49.系統(tǒng)命令

解析：命令注入允許攻擊者執(zhí)行系統(tǒng)命令，危害性較高。

50.用戶

解析：跨境傳輸需獲得用戶的明確授權(quán)，符合《個(gè)人信息保護(hù)法》要求。

五、簡(jiǎn)答題（共25分）

51.滲透測(cè)試流程及重點(diǎn)

答：滲透測(cè)試流程包括：

①情報(bào)收集：通過(guò)公開(kāi)渠道收集目標(biāo)系統(tǒng)信息（5分）；

②漏洞掃描：使用工具（如Nessus、Nmap）識(shí)別系統(tǒng)漏洞（5分）；

③漏洞驗(yàn)證：手動(dòng)驗(yàn)證漏洞可利用性（5分）；

④利用與權(quán)限提升：利用漏洞獲取系統(tǒng)權(quán)限（5分）；