第1題：

Which of the following forms of evidence for the auditor would be considered the MOST reliable?

A、An oral statement from the auditee

B、The results of a test performed by an IS auditor

C、An internally generated computer accounting report

D、A confirmation letter received from an outside source

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：以下哪種形式的證據(jù)對(duì)審計(jì)員來(lái)講更具可靠性？

A、被審計(jì)人員的口頭陳訴

B、由IS審計(jì)師執(zhí)行的測(cè)試結(jié)果

C、一份內(nèi)部導(dǎo)出的計(jì)算機(jī)財(cái)務(wù)賬目報(bào)告

D、從外部資源發(fā)來(lái)的確認(rèn)信。

注：從外部來(lái)源獲得的證據(jù)通常比組織內(nèi)獲得的更可靠。外部當(dāng)事人收到的確認(rèn)信，如用于核實(shí)應(yīng)收賬款余額的確認(rèn)信，通常是高度可靠的。如果核數(shù)師對(duì)審核的技術(shù)領(lǐng)域沒(méi)有很好的理解，審核員的測(cè)試可能不可靠。

第2題：

下面哪項(xiàng)屬于軟件開(kāi)發(fā)安全方面的問(wèn)題（）

A.軟件部署時(shí)所需選用服務(wù)性能不高，導(dǎo)致軟件執(zhí)行效率低。

B.應(yīng)用軟件來(lái)考慮多線程技術(shù)，在對(duì)用戶服務(wù)時(shí)按序排隊(duì)提供服務(wù)

C.應(yīng)用軟件存在sol 注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫(kù)所用數(shù)據(jù)

D.軟件受許可證（license）限制，不能在多臺(tái)電腦上安裝。

信管網(wǎng)參考答案：C

信管網(wǎng)參考答案：當(dāng)應(yīng)用程序使用輸入內(nèi)容來(lái)構(gòu)造動(dòng)態(tài)sql語(yǔ)句以訪問(wèn)數(shù)據(jù)庫(kù)時(shí)，會(huì)發(fā)生sql注入攻擊。如果代碼使用存儲(chǔ)過(guò)程，而這些存儲(chǔ)過(guò)程作為包含未篩選的用戶輸入的字符串來(lái)傳遞，也會(huì)發(fā)生sql注入。sql注入可能導(dǎo)致攻擊者使用應(yīng)用程序登陸在數(shù)據(jù)庫(kù)中執(zhí)行命令。相關(guān)的sql注入可以通過(guò)測(cè)試工具pangolin進(jìn)行。如果應(yīng)用程序使用特權(quán)過(guò)高的帳戶連接到數(shù)據(jù)庫(kù)，這種問(wèn)題會(huì)變得很嚴(yán)重。在某些表單中，用戶輸入的內(nèi)容直接用來(lái)構(gòu)造動(dòng)態(tài)sql命令，或者作為存儲(chǔ)過(guò)程的輸入?yún)?shù)，這些表單特別容易受到sql注入的攻擊。而許多網(wǎng)站程序在編寫時(shí)，沒(méi)有對(duì)用戶輸入的合法性進(jìn)行判斷或者程序中本身的變量處理不當(dāng)，使應(yīng)用程序存在安全隱患。這樣，用戶就可以提交一段數(shù)據(jù)庫(kù)查詢的代碼，根據(jù)程序返回的結(jié)果，獲得一些敏感的信息或者控制整個(gè)服務(wù)器，于是sql注入就發(fā)生了。

c是來(lái)自軟件開(kāi)發(fā)方面的問(wèn)題