A.在代码注释中遗留重要数据
B.将系统错误信息返回给用户
C.除了必要的注释外，将所有的调试语句都删除
D.对返回客户端的提示信息进行统一和格式化

A.对所有敏感信息的传输都要加密
B.对于所有的需要认证访问的或者包含敏感信息的内容使用SSL/TLS连接
C.可以将HTTP和HTTPS混合使用
D.对所有的Cookie使用Secure标志

A.加密的密钥应该保存在受控的区域，防止被未授权访问
B.密钥在废弃之后，要及时删除
C.可以使用自发明的算法
D.密钥的传输可以走HTTP通道

A.明文存储数据
B.使用自发明的加密算法
C.使用弱加密或者过时的加密算法
D.使用足够强度的加密算法，比如AES

A.用户身高
B.密码
C.社会保险号
D.银行卡号

A.配置文件中没有默认的用户名和密码
B.配置文件中没有明文的密码和密钥
C.不要在robot.txt中泄露目录结构
D.在部署之前，删除没有用的功能和测试代码

A.sys/change_install
B.system/manager
C.aqadm/aqadm
D.Dbsnmp/ Dbsnmp

A.限制身份认证cookie的到期时间
B.执行重要业务之前，要求用户提交额外的信息
C.使用一次性令牌
D.对用户输出进行处理

A.只要你登陆一个站点A且没有退出，则任何页面都可以发送一些你有权限执行的请求并执行
B.站点A的会话持续的时间越长，收到跨站请求伪造攻击的概率就越大
C.目标站点的功能采用GET还是POST并不重要，只不过POST知识加大了一点点跨站请求伪造的难度而已
D.有时候复杂的表单采用多步提交的方式防止跨站请求伪造攻击其实并不可靠，因为可以发送多个请求来模拟多步提交

A.用户无需授权访问其他用户的资料
B.用户无需授权访问支持系统文件资料
C.修改数据库信息
D.用户无需授权访问权限外信息

A.窃取用户凭证和会话信息
B.冒充用户身份查看或者变更记录，甚至执行事务
C.访问未授权的页面和资源
D.执行超越权限操作