2022年软考-信息安全工程师考前提分综合测验卷(附带答案及详解)套卷43
20页1、2022年软考-信息安全工程师考前提分综合测验卷(附带答案及详解)1. 单选题SSL协议(安全套接层协议)是Netscape公司推出的一种安全通信协议,以下服务中,SSL协议不能提供的是( )。问题1选项A.用户和服务器的合法性认证服务B.加密数据服务以隐藏被传输的数据C.维护数据的完整性D.基于UDP应用的安全保护【答案】D【解析】本题考查SSL协议。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。其主要提供:(1)认证用户和服务器,确保数据发送到正确的客户机和服务器;(2)加密数据以防止数据中途被窃取;(3)维护数据的完整性,确保数据在传输过程中不被改变。故本题选D。点播:SSL是Secure Sockets Layer的缩写,是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。该协议包含握手协议、密码规格变更协议、报警协议和记录层协议。SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性。2. 案例题阅读下列说明和C语言代码,回答问题1至问题4,将解答写在答题纸的对
2、应栏内。【说明】在客户服务器通信模型中,客户端需要每隔一定时间向服务器发送数据包,以确定服务器是否掉线,服务器也能以此判断客户端是否存活,这种每隔固定时间发一次的数据包也称为心跳包。心跳包的内容没有什么特别的规定,一般都是很小的包。某系统采用的请求和应答两种类型的心跳包格式如图4-1所示。图4-1 协议包格式心跳包类型占1个字节,主要是请求和响应两种类型;心跳包数据长度字段占2个字节,表示后续数据或者负载的长度。接收端收到该心跳包后的处理函数是process_heartbeat(),其中参数p指向心跳包的报文数据,s是对应客户端的socket网络通信套接字。void process_heartbeat(unsigned char *p, SOCKET s) unsigned short hbtype; unsigned int payload; hbtype=*p+; /心跳包类型 n2s(p, payload); /心跳包数据长度 pl=p; /pl指向心跳包数据 if(hbtype=HB_REQUEST) unsigned char *buffer, *bp; buffer=mal
3、loc(1+2+payload); *bp+=HB_RESPONSE; /填充1 byte的心跳包类型 s2n(payload, bp); /填充2 bytes的数据长度 memcpy(bp,pl,payload); /*将构造好的心跳响应包通过socket s返回客户端 */ r=write_bytes(s, buffer,3+payload); 【问题1】(4分)(1)心跳包数据长度字段的最大取值是多少?(2)心跳包中的数据长度字段给出的长度值是否必须和后续的数据字段的实际长度一致?【问题2】(5分)(1)上述接收代码存在什么样的安全漏洞?(2)该漏洞的危害是什么?【问题3】(2分)模糊测试(Fuzzing)是一种非常重要的信息系统安全测评方法,它是一种基于缺陷注入的自动化测试技术。请问模糊测试属于黑盒测试还是白盒测试?其测试结果是否存在误报?【问题4】(4分)模糊测试技术能否测试出上述代码存在的安全漏洞?为什么?【答案】【问题1】(1)心跳包数据长度的最大取值为65535。(2)必须是一致的。【问题2】存在溢出安全漏洞。接收端处理代码在组装响应包时,心跳包数据长度字段(paylo
4、ad)采用的是客户端。发送的请求包中使用的长度字段,由于心跳包数据长度字段完全由客户端控制,当payload大于实际心跳包数据的长度时,将导致越界访问接收端内存,从而泄露内存信息。(2分)造成的危害:在正常的情况下,response 报文中的data就是request报文中的data数据,但是在异常情况下,payload 的长度远大于实际数据的长度,这样就会发生内存的越界访问,但这种越界访问并不会直接导致程序异常,(因为这里直接memcpy后,服务器端并没有使用copy后的数据,而只是简单的进行了回复报文的填充,如果服务端使用了copy的数据也许就可能发现问题)这里使用了memcpy函数,该函数会直接根据长度把内存中数据复制给另一个变量。这样就给恶意的程序留下了后门,当恶意程序给data的长度变量赋值为65535时,就可以把内存中64KB的内存数据通过Response报文发送给客户端,这样客户端程序就可以获取到一些敏感数据泄露。【问题3】属于黑盒测试;不存在误报。【问题4】不能。因为不会产生异常,模糊测试器就无法监视到异常,从而无法检测到该漏洞。【解析】【问题1】已知表示心跳包的数据长
《2022年软考-信息安全工程师考前提分综合测验卷(附带答案及详解)套卷43》由会员ni****g分享,可在线阅读,更多相关《2022年软考-信息安全工程师考前提分综合测验卷(附带答案及详解)套卷43》请在金锄头文库上搜索。
某公司薪酬体系现状分析及对策研究论文
学雷锋活动专项方案
(部编)人教版小学语文一年级上册《10aoouiu》公开课教案_0
TWIJR人际关系问题处理表
《十三岁际遇》教案
大学毕业典礼讲话
江西理工大学计算机组成原理期末复习题+答案
附着式自动升降爬架项目商业计划书写作模板
2023农技推广培训总结
小学数学学习心得体会
半导体物理实验讲义
桃源沙萝郭氏与张家界天门(阳湖坪)郭氏宗派对照表(精品)
2022年关于父亲节演讲稿范文精选
效能监察实施方案
夫妻双方起诉离婚调解是谁调解?-法律常识
贵州2021年01月思南县世行贷款项目思南县华丰果蔬专业合作社育苗基地技术员选聘强化练习卷及答案解析
应急工作总结
遵义市绿色低碳消费项目经营分析报告_模板参考
财务会计实习个人总结范本(4篇).doc
2021年专业技术年终工作总结范文.doc
2023-11-06 21页
2023-12-06 65页
2023-03-22 15页
2023-01-06 89页
2023-02-07 39页
2022-08-27 11页
2023-08-17 19页
2023-07-01 24页
2023-01-06 11页
2023-05-03 4页