2021年11月信息安全工程师下午题答案及解析.pdfVIP

一、[材料型]问答题

试题一（共20分）

阅读下列说明和图，回答问题1至问题5，将解答填入答题纸的对应栏内。

【说明】

在某政府单位信息中心工作的李工要负责网站的设计、开发工作。为了确保部门新

业务的顺利上线，李工邀请信息安全部门的王工按照等级保护2.

0的要求对其开展安全测评。李工提供网站所在的网络拓扑图如图1-

1所示。图中，网站服务器IP地址是40，数据库服务器IP地址是19

41。

图1-1

王工接到网站安全测评任务以后，决定在内网办公区的信息安全部开展各项运维工

作，王工使用的办公电脑IP地址为。

1、【问题1】（2分）

按照等级保护2.

0的要求，政府网站的定级不应低于几级？该等级的测评每几年开展一次？

参考答案：二级；两年

解析：

根据等级保护2.0的要求，政府网站的定级原则上不应低于三级，但实际情况下可

能按照具体的要求和规定进行定级。对于二级等级的测评，一般是每两年开展一次

。参考资料中也提到了三级网站每年应测评一次，与题目中的要求相符。因此，答

案为二级，每两年测评一次。

2、【问题2】（6分）

按照网络安全测评的实施方式，测评主要包括安全功能检测、安全管理检测、代码

安全审查、安全渗透、信息系统攻击测试等。王工调阅了部分网站后台处理代码，

发现网站某页面的数据库查询代码存在安全漏洞，代码如下：

1?php

2if(isset($_GET[‘Submit’])){

3

4//Retrievedata

5$id=$_GET[‘id’];

6

7$getid=”SELECTfirst_name,last_nameFROMusersWHRERuser_id=‘$id’”;

8$result=mysql_query($getid)ordie(‘pre’.mysql_error().‘pre’);

9

10$num=mysql_numrows($result);

11

12$i=0;

13while($i$num){

14

15$first=mysql_result($result,$i,“first_name”);

16$last=mysql_result($result,$i,“last_name”);

17

18ehco‘pre’

19ehco‘ID:’.$id.‘brFirstname:’.$first.‘brSurname:’.$last;

20ehco‘pre’

21

22$i++;

23}

24}

25?

（1）请问上述代码存在哪种漏洞？

（2）为了进一步验证自己的判断，王工在该页面的编辑框中输入了漏洞测试语句

，发起测试。请问王工最有可能输入的测试语句对应以下哪个选项？

A.or1=1--orderby1B.1or‘1’=‘1’=1orderby1#

C.l’or1=1orderby1#D.1and‘1’=‘2’orderby1#

（3）根据上述代码，网站后台使用的哪种数据库系统？

（4）王工对数据库中保存口令的数据表进行检查的过程中，发现口令为明文保存

，遂给出整改建议，建议李工对源码进行修改，以加强口令的安全防护，降低敏感

信息泄露风险。下面给出四种在数据库中保存口令信息的方法，李工在安全实践中

应采用哪一种方法？

A.Base64B.MD5C.哈希加盐D.加密存储

参考答案：（1）SQL注入漏洞（2）C（3）mysql,,（4）C

解析：

（1）上述代码存在SQL注入漏洞。因为代码直接从前端获取参数ID，并将其用于

拼装SQL语句，没有经过任何过滤和条件限制，这可能导致攻击者通过输入特定

字符串来操纵SQL语句，获取不应访问的数据或导致其他未预期的行为。

（2）王工最有可能输入的测试语句是C选项l’or1=1orderby

1#。这条语句可以使得SQL查询绕过正常的验证机制，因为or

1=1总是为真，从而获取用户信息。

（3）根据代码中mysql_query函数，可以判断网站后台使用的是MySQL数据库系

统。

（4）对于数据库中保存口令的信息，应该采用哈希加盐的方法。纯哈希存在被彩

虹表攻