×
单选题
33.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。 STRIDE是微软 SDL 中提出的威胁建模方法,将威胁分为六类, 为每一类威胁提供了标准的消减措施, Spoofing 是 STRIDE 中欺骗类的威胁, 以下威胁中哪个可以归入此类威胁( )
A
网站竞争对手可能雇佣攻击者实施 DDoS 攻击,降低网站访问速度
B
网站使用用户名、密码进行登录验证,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息
C
网站使用使用 http 协议进行浏览等操作,无法确认数据与用户发出的是否一致,可能数据被中途篡改
D
网站使用使用 http 协议进行浏览等操作,未对数据进行加密,可能导致用户传输信息泄露,例如购买的商品金额等
答案解析
正确答案:B
解析:
解析:A属于拒绝服务威胁; C属于篡改威胁; D属于信息泄露威胁。 P405页。
题目纠错
相关题目
单选题
88.以下哪项不是应急响应准备阶段应该做的?
单选题
87.业务系统运行中异常错误处理合理的方法是:
单选题
86.组织建立业务连续性计划( )的作用包括:
单选题
85.访问控制的实施一般包括两个步骤,首先要鉴别主体的合法身份,接着根据当前系统的访问控制规则授予相应用户的访问权限。在此过程中,涉及主体、客体、访问控制实施部件和访问控制决策部件之间的交互。下图所示的访问控制实施步骤中,你认为那个是正确的:()
单选题
84.以下系统工程说法错误的是:
单选题
83.文档体系建设是信息安全管理体系( )建设的直接体现,下列说法不正确的是:
单选题
82.风险要素识别是风险评估实施过程中的一个重要步骤,有关安全要素,请选择一个最合适的选项()。
单选题
81.规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下( )中的输出结果。
单选题
80.信息安全风险评估是信息安全风险管理工作中的重要环节,在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办(2006)5 号)中,风险评估分为自评估和检查评估两种形式,并对两种工作形式提出了有关工作原则和要求,下面选项中描述正确的是( )。
单选题
79.为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。
