软件安全复习

软件安全

12.26 悬疑

第一章：
软件安全怎么理解？什么是软件安全？p5不给分
回答安全属性 cia保密 完整 可用性
用信息安全的属性来解释软件安全
书上的只是讲了为什么要研究软件安全

版权
还要看资料，记录等补充的东西？

第二章
没怎么讲

第三章
提到了很多的漏洞以及产生的原因，有四个大题目
比如web三层架构存在的漏洞以及存在的问题
每一块要分析，跟我们的作业有关
web三层架构是什么？
每一块 前端后端传输存在的问题有哪些
要分析

还与威胁建模有关系

什么叫缓冲区溢出？按照书/课上讲的
首先缓冲区是什么
什么是堆栈，跟第四张4.1.1/.2/.3/.4
名词解释，
格式化串漏洞 （给你一段代码，问问题）课上都讲过的
（sql注入，缓冲区一处，格式化串）

4.2 跨站脚本xss
跨站请求伪造csrf

也会在大题目用到，在前端还是后端？
xss？前端？后端

什么叫模糊测试
什么叫渗透测试

或者什么叫静态/动态分析

第六章肯定会考

windows下面 安全防护机制有哪些？
/gs dep（数据执行保护）
地址空间分布随机化
/safe？？不能只写名字，要写意思，要解释

第七章
拆成了好几章，
开发
题目多
比如说
安全开发周期模型sdl，什么是sdl
威胁建模中的作业 stride是什么 五类威胁的缩写？
s欺骗。。

sd3原则 安全设计原则
sd3+c（conmunication）（书上的不对）是沟通

渗透模糊静态动态测试

身份认证+访问控制
比如用户名密码属于身份认证的什么
身份认证一般分为三大类
what you konw/have/are
口令属于你知道什么know
校园卡，U盾之类的叫have
安全性稍微高一点
are，刷指纹之类的

验证码起到什么作用1.区分人机2.otp一次性口令认证哈希加盐为什么要哈希加盐
不能用什么对称?/非对称区别

访问控制指的是你能干什么
考rbac基于角色的访问控制
合并同类项？1W人可能只有4类权限
例如 管理员一类，教务，学生，教师

第八章
什么是恶意代码 概念
恶意代码的种类 分类
防护的主要技术 模型
特征可信
身份可信 identity
能力 行为可信
环境可信

8-11 四章 考简答题

第四部分
软件自我保护
简答题：软件知识产权面临什么样的威胁以及常用的技术保护措施

有序列号验证
keyfile验证
网络验证
光盘验证
加密锁验证
软件狗 safenet
代码

几个名词解释
堆栈 xss 说过的4个-5个20分

没有选择 填空 判断

谈谈对软件安全的理解

四个大题目 40分
比如说 程序题一个 问题（注入，缓冲区溢出）
材料分析 例子
京东泄露12G信息，请你从软件开发者角度来谈谈你对这个事件的认识
要有技术性 从模型开始介绍，那前面的内容来答

美国大规模断网--什么是ddos攻击
怎么实施ddos攻击 大规模请求超出了负荷， 什么请求？什么东西瘫痪的
dns查询攻击 硬件漏洞
攻击原理的分析

威胁建模分析 更具体

世纪佳缘被逮
月饼们事件
绝对控制？电影
1.谈个人修养
2.谈漏洞管理 挖到漏洞以后 从国家公司层面 应该怎么管理？法律制度
技术 道德 法律 个人修养

10分
问这学期做了哪些实验，看了什么书，包括电影，谈谈自己的体会什么的

红帽子 黑帽子 灰帽子