A.XSS攻击利用的是URL过滤不严格的漏洞
B.XSS的重点不在于跨站点,而在于HTML脚本的执行
C.恶意攻击者在web页面中会插入一些恶意的script代码
D.当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行
A.系统的开发阶段,漏洞的查找应当专注于企业的安全策略,安全操作程序,系统设备白皮书等关于安全和技术性能的文件
B.系统实施过程中,漏洞分析应该扩展到更加详细的层面
C.系统使用过程中,漏洞分析应该包括系统安全功能、安全控制、技术性和程序性的分析,这一环节是IT风险管理最为关键的环节
D.漏洞分析完之后,需要进行系统安全测试,利用系统开发资金、合理的技术以及专家的经验对系统进行安全测试
(1)被审计单位有可能存在什么问题?
(2)公司应该采用哪些关键内控措施堵塞漏洞?
A.SQL注入的SQL命令在用户浏览器中执行,而XSS跨站的脚本在WEB后台数据库中执行
B.XSS和SQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码,而SQL注入的是SQL命令
C.XSS和SQL注入攻击都利用了WEB服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷
D.XSS攻击盗取WEB终端用户的敏感数据,甚至控制用户终端操作,SQL注入攻击盗取WEB后台数据库中的敏感数据,甚至控制整个数据库服务器