缓冲区溢出可分为（）

从( )上讲，对网络的攻击可分为：系统入侵类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务类攻击、防火墙攻击、病毒类攻击、木马程序攻击与后门攻击。

从黑客攻击的手段上看，对网络的攻击可分为( )。

① 系统入侵类攻击 ② 缓冲区溢出攻击

③ 欺骗类攻击 ④ 拒绝服务类攻击

⑤ 防火墙攻击 ⑥ 病毒类攻击

⑦ 木马程序攻击 ⑧ 后门攻击

⑨ 服务攻击 ⑩ 垃圾邮件攻击

A．①②④⑤⑥⑧⑨⑩

B．①②③④⑤⑥⑦⑨⑩

C．①②③④⑤⑥⑦⑧

D．①②③④⑤⑥⑦⑧⑨⑩

此题为判断题(对，错)。

在Solaris 9系统中可以通过配置系统参数来防御部分缓冲区溢出型攻击，以下说法正确的是：( )

A、需要修改/etc/system文件

B、需要修改/etc/default/inetinit文件

C、在/etc/default/inetinit文件中增加set noexec_user_stack = 1和 set noexec_user_stack_log = 1

D、在/etc/system文件中增加set noexec_user_stack = 1和set noexec_user_stack_log = 1

在传输层采用了以下哪些方法来保证接收缓冲区不溢出().

A.数据分段

B.确认机制

C.流量控制

D.滑动窗口

E.数据包分片

试题三（共15分）

阅读以下说明，回答问题 1 至问题4，将解答填入答题纸的对应栏内。

【说明】

某企业委托软件公司设计企业管理系统，该系统涉及企业的许多商业机密，对软件安全性、可靠性、易用性等方面提出了较高的要求。

【问题 1】（3 分）

为了达到预期的安全性，测试人员采用了静态代码安全测试、动态渗透测试、程序数据扫描三种方法对系统进行安全性测试。

其中，

（1） 对应用系统进行攻击性测试，从中找出系统运行时所存在的安全漏洞；

（2） 在早期的代码开发阶段完成；

（3） 通过内存测试来发现缓冲区溢出类的漏洞。

【问题 2】（6 分）

为了方便用户使用本系统，测试人员对软件的易用性进行了测试。功能易用性测试是软件易用性测试的一个方面，它包括业务符合性、功能定制性、业务模块的集成度、数据共享能力、约束性、交互性和错误提示等。

其中， （

4） 是测试界面风格、表格设计、数据加密机制等是否符合相关的法律法

规及使用人员的习惯；

（5） 是测试数据库表的关联和数据重用程度；

（6） 是测试关

键操作前是否有明确提示。

（4）~（6）的备选答案：

A．业务符合性测试 B．业务模块的集成度测试 C．约束性测试

D．功能定制性测试 E．数据共享能力 F．错误提示测试

【问题 3】（3 分）

为了验证系统的可恢复性，测试人员从自动恢复和人工恢复两个方面着手测试。自动恢复需验证数据恢复、 （7） 和 （8） 等机制的正确性；需人工干预的系统恢复还需 （9） ，确定其是否在可接受的范围内。

（7）~（9）的备选答案：

A．重新初始化 B．数据备份 C．重新启动

D．关闭系统 E．界面刷新 F．估计平均修复时间

G．估计平均故障时间

【问题 4】（3 分）

技术员小张选择以下三个实例对系统进行测试：

A．输入错误的密码

B．手工拔下客户端的网线，在许可的时间范围内再插上

C．关闭服务器电源，判断备份机器是否能够正常启动

其中， （10） 进行的是可恢复性测试； （11） 进行的是安全测试； （12） 进行的是故障转移测试。

王先生近期收到了一封电子邮件，发件人显示是某同事，但该邮件十分可疑，没有任何与工作相关内容，邮件中带有一个陌生的网站链接，要求他访问并使用真实姓名注册，这可能属于哪种攻击手段?( )

A.水坑攻击

B.DDOS攻击

C.缓冲区溢出攻击

D.钓鱼攻击

【问题 1】（3 分）

为了达到预期的安全性，测试人员采用了静态代码安全测试、动态渗透测试、程序数据扫描三种方法对系统进行安全性测试。

其中， （1） 对应用系统进行攻击性测试，从中找出系统运行时所存在的安全漏洞；（2） 在早期的代码开发阶段完成； （3） 通过内存测试来发现缓冲区溢出类的漏洞。

安全管理员使用数据包分析器检查一个受到攻击的数据库服务器的网络会话。在会话中有一系列重复的十六进制字符90(X90)。下列哪种攻击类型发生了?

A. 缓冲区溢出攻击

B. 跨站脚本

C. XML注入

D. SQL注入

以下说法正确的是()。

A、分布式拒绝服务攻击可以在那些通过系统的远程请求漏洞被劫持的机器上执行

B、黑客可以通过Unix系统Sendmail漏洞来获得口令

C、Windows的Messenger服务向缓冲区保存消息数据之前没有正确检查消息长度

D、溢出导致“黑客”病毒横行