80.某电子商务网站在开发设计时,使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE 是微软 SDL 中提出的威胁建模方法,将威胁分为六类,为每一类威胁提供了标准的消减措施,Spoofing 是STRIDE 中欺骗类的威,以下威胁中哪个可以归入此类威胁()
答案解析
解析:
现在让我们来看一下题目中的选项。选项B提到了竞争对手雇佣攻击者实施 DDoS 攻击,这属于拒绝服务(Denial of Service)的威胁,不属于欺骗类的威胁。选项C提到了数据可能被中途篡改,这属于数据篡改(Tampering)的威胁,也不属于欺骗类的威胁。选项A提到了用户传输信息可能泄露,这属于信息泄露(Information Disclosure)的威胁,同样不属于欺骗类的威胁。
而选项D提到了使用用户名、密码进行登录验证时,攻击者可能会利用弱口令或其他方式获得用户密码,以该用户身份登录修改用户订单等信息。这属于身份欺骗(Spoofing)的威胁,符合欺骗类的特点,因此是正确的答案。
相关题目
20、随着高校业务资源逐渐向数据中心高度集中,Web 成为一种普适平台,上面承载了越来越多的核心业务。Web 的开放性带来丰富资源、高效率、新工作方式的同时,也使机构的重要信息暴露在越来越多的威胁中。去年,某个…网站遭遇 SQL 群注入( Mass SQL Injectior)攻击,网站发布的重要信息被簒改成为大量签名,所以该校在某信息安全公司的建议下配置了状态检测防火墙,其原因不包括 ( )
19、关于 Wi-FI 联盟提出的安全协议 WPA 和 WPA2 的区别,下面描述正确的是( )
18、访问控制方法可分为自主访问控制、强制访问控制和基于角色的访问控制,他们具有不同的特点和应用场景。如果需要选择一个访问控制方法,要求能够支持最小特权原则和职责分离原则,而且在不同的系统配置下可以具有不同的安全控制,那么在下列选项中,能够满足以上要求的选项是 ( )
17、强制访问控制是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体,具有较高的安全性。适用于专用或对安全性要求较高的系统,强制访问控制模型有多种模型,如
16、小赵是某大学计算机科学与技术专业的毕业生,在前往一家大型企业应聘时,面试经理要求他给出该企业信息系统访问控模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能,在以下选项中,从时间和资源消耗的角度,下列选项中他应该采取的最合适的模型或方法是 ( )
15、在信息系统中,访问控制是重要的安全功能之一。他的任务是在用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。访问控制模型将实体划分为主体和客体两类,通过对主体身份的识别来限制其对客体的访问权限。下列选项中,对主体、客体和访问权限的描述中错误的是( )
14、常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。下面描述中错误的是 ( )
13、实体身份鉴别一般依据以下三种基本情况或这三种情况的组合:实体所知的鉴别方法、实体所有的鉴别方法和基于实体特征的鉴别方法。下面选项中属于实体特征的鉴别方法是 ( )
12、为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡→ 短信证模式进行网上转账等交易。在此场景中用到下列哪些鉴别方法? ( )
11、虚拟专用网络(VPN)通常是指在公共网络中利用隧道技术,建立一个临时的、安全的网络。这里的字母P 的正确解释是 ( )
