java安全编码规范考试
整理不易,收点币!! 安全编码规范考试.md
下面对zip文件的安全解压缩描述,错误的是
A.zip文件解压时,可以使用entry.getSize()对解压缩文件进行文件大小判断
B.zip文件解压时,需通过边读文件内容边统计文件实际大小,对文件大小进行限制检查
C.zip文件解压时,需对解压缩的文件数量进行限制检查
D.zip文件解压缩时,需判断文件名称中是否存在…/这样的返回上层路径的情况
下面对Java反序列化的描述正确的是
A.Java反序列化时,目标class与预期class不一致时,会导致类型转换错误,所以即使反序列化不可信数
据也不会有安全风险
B.Java的反序列化操作,可以绕过对象构造函数的执行
C.对象序列化后,即使包含敏感数据也不会产生风险
D.jdk提供的序列化操作,会将Java对象序列化二进制流,可以有效防止信息泄露或恶意篡改
部分判断:
部分选择:
部分多选:
