D6知识点正确率：60/50 综合：55 练习题链接如下，早起的鸟儿有虫吃～

• 单元D6-1测试
• 单元D6-2测试

1、以下哪项是用于设计新软件测试并确保测试质量的方法？
代码审计
静态代码分析
回归测试（我的选择）
突变测试（正确答案）

突变测试通过修改程序的局部，测试该突变体来确定其能否按照预期运行。
静态代码分析和回归测试均是测试代码的方法。
而代码审计是针对源代码的分析，并非设计和测试软件的方法。

2、在无线网络渗透测试期间，Susan使用密码文件对网络运行aircrack-ng。什么可能会导致她的密码破解工作失败？
使用WPA2加密（我的选择）
在企业模式下运行WPA2（正确答案）
使用WEP加密
在PSK模式下运行WPA2

企业模式下的WPA2可为用户提供RADIUS身份验证，而非预共享密钥，这意味着对指定账户的密码攻击可能导致账户锁定。
WPA2加密方法无法阻止密码攻击。
WPA2的预共享密钥模式一直是攻击者们关注的热点，他们试图找出密钥。
WEP加密方法不仅是过时的，还会被aircrack-ng之类的工具快速破解。

3、以下哪项不是主动无线扫描的潜在问题？
意外扫描并误识别为流氓设备，但实际上该设备属于客人
引起组织的无线IPS报警（正确答案）
扫描属于附近组织的设备（我的选择）
误识别流氓设备

主动扫描会导致无线IPS警报。
意外扫描客人和附近组织，错误识别第三方的设备，这些都是主动扫描的潜在问题。

4、Ben使用一个开发数据模型的模糊工具，并根据应用程序使用数据的特点来创建模糊数据。Ben在做什么类型的模糊测试？
突变
参数
智能（正确答案）
衍生（我的选择）

生成模糊依赖于应用程序的输入模型，并利用该模型提供的信息进行模糊攻击。
基于突变的模糊器有时被称为“哑”模糊器，因为它们只是修改现有数据样本从而建立新的测试样本。
“参数”和“衍生”都不是用于描述模糊器类型的术语。

5、Jim进行灰盒渗透测试，他的客户向他提供有关其网络的以下信息，以便他可以扫描它们。
IP范围太大，无法有效扫描。
不能扫描提供的IP地址。（我的选择）
IP范围重叠，将导致扫描问题。
提供的IP地址是RFC 1918地址。（正确答案）

客户提供的IP地址是RFC 1918不可路由的IP地址，为能够成功地进行渗透测试，他要么穿透组织的网络边界，要么将机器放在组织的网络内以便从内部进行扫描。
在扫描时，重叠的IP地址不是真正要关心的问题，并且当前扫描系统也能轻松地解决IP地址的范围问题。

6、Karen的组织已经执行系统备份多年，但没有经常使用备份。在最近的系统中断期间，当管理员尝试从备份还原时，他们发现备份有误，无法恢复。在选择确保组织的备份下次可以使用的方法时，Karen应该避免选择以下哪个选项？
日志审查
MTD验证（正确答案）
散列（我的选择）
定期测试

Karen无法使用MTD验证，因为MTD是最大容忍停机时间。如果要进行MTD验证，验证结果只会告诉她系统最长可以离线多长时间。
日志审查和使用散列可以验证日志是否完整。
定期测试也是验证备份是否正常工作的有效方法。

7、在渗透测试期间，Danielle需要识别系统，但是她没有获得足够的访问权限。她应该运行什么类型的扫描来验证开放的服务？
TCP连接扫描（正确答案）
TCP SYN扫描（我的选择）
UDP扫描
ICMP扫描

当测试人员没有原始数据包创建权限时，可使用TCP连接扫描。
由于需要写入原始数据包，在大多数Linux系统上，TCP SYN扫描需要升级后的权限。
UDP扫描无法提供TCP的大多数服务。
ICMP也仅响应ping操作的系统扫描，无法识别出服务。

8、Saria 的团队向组织管理部门说明组织存在一些漏洞，这些漏洞可能会被黑客利 用。如果她想执行一次现实攻击做为渗透测试的一部分，应该执行什么类型的渗透测试？
水晶盒
灰盒（我的选择）
白盒
黑盒（正确答案）

黑盒测试是最符合实际的渗透测试类型，因为它不向渗透测试人员提供系统配置、系统设计、软件以及网络配置等系统内部信息。
灰盒测试提供了一些信息，而白盒或晶盒测试则向测试者提供了系统的大部分或全部信息。

9、Jim的雇主的信息安全团队发现了Jim负责维护的Web服务器中的漏洞。他立即应用补丁，并确保其安装正确，但漏洞扫描器继续标记系统是有漏洞的，即使Jim确定补丁安装。以下哪个选项是Jim处理问题的最佳选择？
卸载并重新安装补丁。
要求信息安全团队将系统标记为已修补并且不易受攻击。（正确答案）
更新Web服务器配置中的版本信息。（我的选择）
查看漏洞报告并使用备用修复指示（如果提供）。

如果他确定补丁已安装，Jim应该要求信息安全团队将问题标记为已解决。
许多漏洞扫描器依赖于版本信息或标题信息，如果软件提供者不更新这些信息，用户可通过标记安装补丁后的版本来解决这个问题。
卸载并重新安装补丁并没有什么帮助。
更改版本信息可能不会更改扫描器标记的那些详细信息。
查看漏洞信息是一种变通的方法，可能是一个好主意，但如果安装了正确的补丁，则不需要，这可能会在以后带来维护问题。

10、STRIDE（代表欺骗、篡改、抵赖、信息泄露、拒绝服务、特权提升）在应用程序威胁建模的哪一部分是有用的？
脆弱性评估（我的选择）
误用用例测试
威胁分类（正确答案）
渗透测试计划

应用威胁建模的一个重要部分就是威胁分类，它有助于评估攻击者的目标。
其他答案和应用程序威胁建模的关系都不大。

11、在渗透测试期间，Lauren被要求测试组织的蓝牙安全。以下哪项不是她应该向雇主解释的问题？
蓝牙扫描可能很耗时。（我的选择）
被扫描的许多设备可能是个人设备。
蓝牙被动扫描可能需要在不同时间多次访问来识别所有目标。
蓝牙主动扫描无法评估蓝牙设备的安全模式。（正确答案）

主动蓝牙扫描可确定PIN的强度和当前设备使用的安全模式。
但由于蓝牙的覆盖范围有限和个人蓝牙的流行，因此蓝牙扫描也存在着一定挑战性。
被动蓝牙扫描仅检测主动连接，通常需要多次访问才能识别所有设备。

12、为保证报告阶段不出问题，规划阶段中的核心问题是？
使用哪种CVE格式
如何存储和发送漏洞数据（正确答案）
哪些目标是范围外的（我的选择）
报告应该有多长时间

渗透测试报告通常包括可能造成额外曝光的那些信息。因此，确定如何存储和发送漏洞数据至关重要。
在漏洞评估和开发阶段，目标之外发生的事情更可能导致问题。
而且测试报告的篇幅不应受到限制，只要它们能够达到测试目标即可。

13、在验证代码测试组件的工作时，通常使用四种类型的覆盖标准？
输入、申明、分支和条件覆盖
函数、申明、分支和条件覆盖（正确答案）
API、分支、边界和条件覆盖
边界、分支、循环和条件覆盖（我的选择）

代码覆盖测试最常见的要求就是确保：
每个函数都被调用，
每个语句都被执行，
所有分支都要被遍历，
并且每个子表达式的真假值都被测试到。

14、Jacob为其组织的管理团队提供了以下图表。他为他们提供什么类型的测试？
覆盖率测试
关键绩效指标（正确答案）
生存时间指标（我的选择）
业务关键指标

修复漏洞所需的时间是安全团队常用的关键绩效指标。
生存时间描述的是数据包可在跳中存在多长时间，
业务关键性是确定服务或系统对组织的重要性的一个度量，
覆盖率是代码测试有效性的一个度量。

15、不应使用以下哪些策略来处理漏洞扫描器识别的漏洞？
安装补丁。
使用解决方法修复。
更新标题或版本号。（正确答案）
使用应用程序层防火墙或IPS防止对所识别漏洞的攻击。（我的选择）

简单地更新应用程序版本信息可能阻止漏洞扫描程序标记它，但它无法修复潜在的问题。
安装补丁、使用解决方法或安装应用程序层防火墙或IPS都有助于修复漏洞或限制漏洞的影响。

16、以下哪项危害与渗透测试无关？
应用程序崩溃
拒绝服务
漏洞利用（正确答案）
数据损坏（我的选择）

渗透测试旨在帮助识别漏洞，利用漏洞是识别过程的一部分，并不构成危害。
应用程序崩溃，由于系统、网络或应用程序故障，
拒绝服务，甚至数据损坏都可能是渗透测试的危害。

17、Jim与渗透测试承包商合作，他建议使用Metasploit作为渗透测试活动的一部分。当Metasploit被使用时，会发生什么？
将扫描系统的漏洞。（我的选择）
系统将会知道已被利用的漏洞。（正确答案）
服务将探测出缓冲区溢出和其他未知缺陷。
系统将进行零日漏洞利用测试。

Metasploit是一个旨在协助渗透测试人员的渗透包。使用Metasploit的测试人员可以利用已有漏洞的利用方法，来利用已知漏洞，或者可以使用该工具创建自己的漏洞利用方法。
虽然Metasploit提供了对某些漏洞扫描功能的内置访问，但测试人员主要应该使用Metasploit的可利用漏洞进行实际测试。
同样，Metasploit支持创建缓冲区溢出攻击，但它不是专门构建缓冲区溢出测试的工具，当然，除非系统已发布零日攻击的测试，否则不起作用。

18、在漏洞扫描时发现系统关键漏洞后，应该执行哪些步骤？
修补
报告（我的选择）
补救
验证（正确答案）

一旦漏洞扫描程序识别出潜在问题，接着需要进行验证，以验证问题是否存在。
漏洞被确认后，可执行报告、修补或其他补救措施。

19、Kathleen正在审查应用程序的代码。她首先计划审核，与审查人员进行总结会议并分配角色，然后与审查人员合作审查材料并为其角色做好准备。接下来，她打算检查代码，重做它，并确保找到的所有缺陷都已纠正。Kathleen进行什么类型的审查？
动态测试
Fagan检查法（正确答案）
Fuzzing
Roth-Parker审查（我的选择）

Fagan测试是一个详细的代码审查，包括规划、概述、准备、检查、返工和后续阶段。
动态测试在真实运行环境中测试代码，而模糊就是一种动态测试，将无效输入提供给软件以测试其异常处理能力。
Roth-Parker审查是虚造的，事实不存在。

20、Danielle想对比她在数据中心发现的一些漏洞，她应该使用什么评分系统来比较这些漏洞指标？
CSV
NVD（我的选择）
VSS
CVSS（正确答案）

通用漏洞评分系统(CVSS)包括一系列指标和计算工具，用来评测漏洞的可利用性、严重程度和修复方案，并会根据用户的独特需求给出评估漏洞的方法。
NVD是美国国家信息安全漏洞库，
CSV是逗号分隔值，
VSS是虚造出来的。

21、在他的网络端口扫描期间，Alex发现许多主机在他的组织内办公室的TCP端口80、443、515和9100上做出响应。Alex可能发现哪种类型的设备？
Web服务器（我的选择）
文件服务器
无线接入点
打印机（正确答案）

支持网络的打印机通常通过TCP 515和9100提供服务，
并且TCP 80和443端口上都有控制传输安全和不安全的网络接口。
Web服务器、接入点和文件服务器通常不会在LPR和LPD端口(515和9100)上提供服务。

22、在nmap扫描期间，为端口提供了哪三种可能的状态？
打开、未知、关闭（我的选择，早知道看英文就好了）
打开、关闭和过滤（正确答案）
可用、拒绝、未知
可用、不可用、过滤

Nmap报告三种状态之一：
(1)打开状态，这意味着端口是打开的，应用程序会有响应；
(2)关闭状态，这意味着端口可访问，但没有应用程序响应；
(3)过滤状态，这意味着防火墙不允许nmap确定端口是打开的还是关闭的。

23、Jim正在设计他的组织的日志管理系统，并且他知道需要仔细地计划处理组织的日志数据。以下哪项不是Jim应该关注的因素？
日志数据量
缺乏足够的日志源（正确答案）
数据存储安全要求
网络带宽（我的选择）

缺乏足够的日志源不是日志管理系统设计时要考虑的一个关键因素。缺少足够的日志源会导致无法抓取所需的数据。
日志管理系统设计必须考虑日志的数据量、消耗的网络带宽、数据的安全性和分析数据所需的工作量。

24、什么类型的漏洞扫描可以访问运行系统的配置信息，并且可以通过网络提供服务的访问信息？
经过身份认证的扫描（正确答案）
Web应用程序扫描
未经认证的扫描
端口扫描（我的选择）

经过身份认证的扫描使用只读账户访问配置文件，从而能更准确地测试漏洞。
Web应用程序扫描、未经验证的扫描和端口扫描都无权访问配置文件，除非配置文件无意中被暴露出来。
微软的STRIDE威胁评估模型将威胁分为六个类型：
假冒，涉及用户身份验证；
篡改，涉及对数据的恶意修改；
否认，用户可能在执行某个操作之后否认该行为；
信息泄露，数据应该只被具有相应权限的人员访问；
拒绝服务，合法用户可能无法获取正常的服务；
提升权限，未授权的用户获得了更高的权限。

25、Ben的开发团队需要解决导致特权提升威胁的授权问题。以下哪个控制最适合此类型的问题？
启用审计和日志记录。（我的选择）
RBAC用于特定操作。（正确答案）
启用数据类型和格式检查。
用白名单测试用户输入。

对特定操作使用基于角色的访问控制(RBAC)，将有助于确保用户不能执行他们不应该执行的操作。
审计和日志记录可以帮助检测滥用，但不会阻止滥用。
数据类型、格式检查和白名单对于防止SQL注入和缓冲区溢出等攻击非常有用，但这些方法都不是直接针对授权问题的。

26、Ben的团队正在尝试对事务标识问题进行分类，问题是由多个服务器共享的对称密钥导致的。这属于什么STRIDE类别？
信息泄露（我的选择）
拒绝服务
篡改
否认（正确答案）

由于共享对称密钥可被任何服务器使用，因此由共享密钥引起的事务识别问题可能涉及否认问题。如果服务器无法唯一标识加密的事务，则不能证明其来自特定的服务器。

27、Ben的经理担心他的扫描覆盖范围，为什么会这样？
Ben没有测试UDP服务。（我的选择）
Ben没有发现“常用端口”之外的端口。
Ben没有执行操作系统指纹。
Ben只测试了有限数量的端口。（正确答案）

Nmap默认只扫描1000个TCP和UDP端口，包括0～1024常用端口号以外的端口。Ben使用nmap的默认设置，导致他错过了64 535个端口。

28、Saria需要编写一个代码审查方案需求，并希望确保审查人员将其组织的应用程序背后的业务逻辑考虑在内。她应在RFP中指定什么类型的代码审查？
静态
模糊
手动（正确答案）
动态（我的选择）

当有必要了解代码中的上下文和业务逻辑时，手动代码审查是最佳选择，此时需要由人员一行一行地检查代码。
模糊法、动态和静态代码审查均会发现手动代码审查发现不了的错误，但这三种方法都不具备人类的思维特点。

29、应用程序威胁建模中使用什么类型图表来描述恶意用户、缓解和威胁等？
威胁树
STRIDE图表
误用用例图表（正确答案）
DREAD图表（我的选择）

误用用例图表使用超出传统用例图的语言，包括威胁和缓解。
威胁树用于映射威胁，但不使用如威胁和缓解之类的专门语言。
STRIDE是用于威胁建模的助记符和模型，
DREAD是一种风险评估模型。

1、NIST特别出版物800-53A描述了评估客体的四种主要类型，这些评估客体可用于标识正在被评估的项目。如果评估涵盖IPS设备，则哪个类型的评估客体正在被评估？
规范
机制（正确答案）
活动（我的选择）
个人

IPS是基于硬件、软件或固件的控制机制。
规范是基于文档的策略方针或设计方法。
活动指技术人员在整个信息系统的行为。
个人指应用规范、机制或活动的一个或多个人。

2、哪种类型的SOC报告最适合为用户提供有关组织的安全性、可用性和服务运营完整性的保证？
SOC 1类型2报告
SOC 2报告（我的选择）
SOC 3报告（正确答案）
SOC 1类型1报告

SOC 3报告能为用户提供有关组织的服务运营完整性、可用性和保密性的保证。
SOC 1报告是关于财务控制方面的，
而SOC 2报告则涵盖了业务合作伙伴、监管机构和其他类似组织的安全性、可用性、完整性和保密性。

3、什么系统本身不支持syslog？
企业无线接入点（我的选择）
Windows台式机系统（正确答案）
Linux Web服务器
企业防火墙设备

Windows系统按照Windows本地日志格式来生成日志。Windows系统需要辅助的应用程序或工具才能发送syslog事件。企业无线接入点、防火墙和Linux系统通常都支持syslog。

4、什么类型的监控使用网站的模拟流量来监控性能？
日志分析
合成监测（正确答案）
被动监测（我的选择）
模拟事务分析

合成监测使用仿真的事务来监控响应时间、功能以及其他性能的变化。
被动监测使用调试端口或其他方法来复制流量并实时监控它。
日志分析通常处理实际日志数据，但也可在模拟流量中发现问题。
模拟事务分析不是专业术语。

5、什么被动监控技术记录所有用户与应用程序或网站的交互，来确保质量和性能？
客户端/服务器测试
真实用户监控（正确答案）
合成用户监控
被动用户记录（我的选择）

真实用户监控(RUM)是一种被动监控技术。RUM通常是部署实际用户界面过程的一部分。
合成监控使用模拟的行为，但合成用户监控并非测试方法。
被动用户记录也不是专业术语，但被动监控是存在的，它监控的是实际流量。
客户端/服务器测试仅描述一种可能的架构。

6、Susan需要为她的组织预测风险，并希望使用指标定量来评估其发生风险的趋势。她应该怎么处理？
执行年度风险评估。（我的选择）
聘请渗透测试公司定期测试组织安全性。
识别和跟踪主要风险指标。（正确答案）
使用SIEM设备监视日志和事件。

主要风险指标用于告诉风险管理负责人活动的危险程度以及变化会对风险状况产生怎样的影响。识别主要风险指标并对其进行监控有助于在其生命周期的早期阶段识别出高风险领域。
年度风险评估只是从时间的角度来看待风险。
渗透测试可能会忽略与安全间接相关的风险。
使用SIEM设备监视日志和事件有助于发现问题，但不一定会显示风险趋势。

7、合成和被动监控有什么主要区别？
合成监控只有在发生问题后才能工作。
被动监控无法检测功能问题。（我的选择）
被动监控只有在发生问题后才能工作。（正确答案）
合成监控不能检测功能问题。

由于需要实际的流量信息，被动监控只有在问题发生后才能工作。
合成监控使用模拟或记录的流量，因此可用来主动识别问题。
合成监控和被动监控都可以用来检测功能问题。

8、Lauren正在对第三方服务组织进行审查，并希望了解该组织的策略和程序是否在一段时间内得到有效执行。她应该需要什么类型的行业标准评估报告？
SSAE 16 SOC 1类型I
SAS 70类型I
SSAE 16 SOC 1类型II（正确答案）
SAS 70类型II（我的选择）

SOC 1报告是根据《鉴证业务准则公告第16号》(SSAE-16)编写的。
SOC 1类型I报告从时间的角度来验证政策和程序，
而SOC 1类型II报告要求时间跨度至少为6个月。

9、为实现组织的国际化，Jim正在确定组织的审计标准，以下哪项不是他们应该使用的IT标准？
COBIT
SSAE-16
ITIL（正确答案）
ISO27002（我的选择）

ITIL指的是IT基础设施库，是一套用于IT服务管理的方法，通常不用于审计。
COBIT(信息系统和技术控制目标)、ISO 27002和SSAE-16(鉴证业务准则公告第16号)都用于审计。

10、以下哪项不是综合事务监控的方法？
数据库监控
流量捕获和分析
用户会话监控（正确答案）
网站性能监控（我的选择）

用户会话监控不是进行综合性能监控的手段。
综合性能监控使用脚本或记录的数据，而不是实际的用户会话。
在监控综合性能时，可以使用流量捕获、数据库性能监控和网站性能监控。

11、重新启动Windows系统时，会生成什么类型的日志？
错误
警告（我的选择）
信息（正确答案）
审计失败

重新启动Windows系统时，机器会生成信息类型的日志条目。
Windows系统定义了五种类型的事件：
错误，表明问题比较严重；
警告，表明以后可能会存在问题；
信息，描述成功的操作；
审计成功，记录成功的安全访问；
审计失败，记录失败的安全访问尝试。

12、基于SSAE-16的国际框架是什么？
ISO27001
SAS70
SOX（我的选择）
ISAE 3402（正确答案）

SSAE-16基于ISAE 3402(《鉴证业务国际准则第3402号》)。
SAS-70已被SSAE-16所取代，
而ISO27001是信息安全管理系统(ISMS)的正式规范。
SOX是萨班斯法案，是美国政府出台的一部涉及会计职业监管和保护投资者的重要法律。

本篇完～