12.26 悬疑
第一章:
软件安全怎么理解?什么是软件安全?p5不给分
回答安全属性 cia保密 完整 可用性
用信息安全的属性来解释软件安全
书上的只是讲了为什么要研究软件安全
版权
还要看资料,记录等补充的东西?
第二章
没怎么讲
第三章
提到了很多的漏洞以及产生的原因,有四个大题目
比如web三层架构存在的漏洞以及存在的问题
每一块要分析,跟我们的作业有关
web三层架构是什么?
每一块 前端后端传输存在的问题有哪些
要分析
还与威胁建模有关系
什么叫缓冲区溢出?按照书/课上讲的
首先缓冲区是什么
什么是堆栈,跟第四张4.1.1/.2/.3/.4
名词解释,
格式化串漏洞 (给你一段代码,问问题)课上都讲过的
(sql注入,缓冲区一处,格式化串)
4.2 跨站脚本xss
跨站请求伪造csrf
也会在大题目用到,在前端还是后端?
xss?前端?后端
什么叫模糊测试
什么叫渗透测试
或者什么叫静态/动态分析
第六章肯定会考
windows下面 安全防护机制有哪些?
/gs dep(数据执行保护)
地址空间分布随机化
/safe??不能只写名字,要写意思,要解释
第七章
拆成了好几章,
开发
题目多
比如说
安全开发周期模型sdl,什么是sdl
威胁建模中的作业 stride是什么 五类威胁的缩写?
s欺骗。。
sd3原则 安全设计原则
sd3+c(conmunication)(书上的不对)是沟通
渗透模糊静态动态测试
身份认证+访问控制
比如用户名密码属于身份认证的什么
身份认证一般分为三大类
what you konw/have/are
口令属于你知道什么know
校园卡,U盾之类的叫have
安全性稍微高一点
are,刷指纹之类的
验证码起到什么作用1.区分人机2.otp一次性口令认证哈希加盐为什么要哈希加盐
不能用什么对称?/非对称区别
访问控制指的是你能干什么
考rbac基于角色的访问控制
合并同类项?1W人可能只有4类权限
例如 管理员一类,教务,学生,教师
第八章
什么是恶意代码 概念
恶意代码的种类 分类
防护的主要技术 模型
特征可信
身份可信 identity
能力 行为可信
环境可信
8-11 四章 考简答题
第四部分
软件自我保护
简答题:软件知识产权面临什么样的威胁以及常用的技术保护措施
有序列号验证
keyfile验证
网络验证
光盘验证
加密锁验证
软件狗 safenet
代码
几个名词解释
堆栈 xss 说过的4个-5个20分
没有选择 填空 判断
谈谈对软件安全的理解
四个大题目 40分
比如说 程序题一个 问题(注入,缓冲区溢出)
材料分析 例子
京东泄露12G信息,请你从软件开发者角度来谈谈你对这个事件的认识
要有技术性 从模型开始介绍,那前面的内容来答
美国大规模断网–什么是ddos攻击
怎么实施ddos攻击 大规模请求超出了负荷, 什么请求?什么东西瘫痪的
dns查询攻击 硬件漏洞
攻击原理的分析
威胁建模分析 更具体
世纪佳缘被逮
月饼们事件
绝对控制?电影
1.谈个人修养
2.谈漏洞管理 挖到漏洞以后 从国家公司层面 应该怎么管理?法律制度
技术 道德 法律 个人修养
10分
问这学期做了哪些实验,看了什么书,包括电影,谈谈自己的体会什么的
红帽子 黑帽子 灰帽子