第1題：

Which of the following forms of evidence for the auditor would be considered the MOST reliable?

A、An oral statement from the auditee

B、The results of a test performed by an IS auditor

C、An internally generated computer accounting report

D、A confirmation letter received from an outside source

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：以下哪種形式的證據(jù)對審計員來講更具可靠性？

A、被審計人員的口頭陳訴

B、由IS審計師執(zhí)行的測試結果

C、一份內(nèi)部導出的計算機財務賬目報告

D、從外部資源發(fā)來的確認信。

注：從外部來源獲得的證據(jù)通常比組織內(nèi)獲得的更可靠。外部當事人收到的確認信，如用于核實應收賬款余額的確認信，通常是高度可靠的。如果核數(shù)師對審核的技術領域沒有很好的理解，審核員的測試可能不可靠。

第2題：

下面哪項屬于軟件開發(fā)安全方面的問題（）

A.軟件部署時所需選用服務性能不高，導致軟件執(zhí)行效率低。

B.應用軟件來考慮多線程技術，在對用戶服務時按序排隊提供服務

C.應用軟件存在sol 注入漏洞，若被黑客利用能竊取數(shù)據(jù)庫所用數(shù)據(jù)

D.軟件受許可證（license）限制，不能在多臺電腦上安裝。

信管網(wǎng)參考答案：C

信管網(wǎng)參考答案：當應用程序使用輸入內(nèi)容來構造動態(tài)sql語句以訪問數(shù)據(jù)庫時，會發(fā)生sql注入攻擊。如果代碼使用存儲過程，而這些存儲過程作為包含未篩選的用戶輸入的字符串來傳遞，也會發(fā)生sql注入。sql注入可能導致攻擊者使用應用程序登陸在數(shù)據(jù)庫中執(zhí)行命令。相關的sql注入可以通過測試工具pangolin進行。如果應用程序使用特權過高的帳戶連接到數(shù)據(jù)庫，這種問題會變得很嚴重。在某些表單中，用戶輸入的內(nèi)容直接用來構造動態(tài)sql命令，或者作為存儲過程的輸入?yún)?shù)，這些表單特別容易受到sql注入的攻擊。而許多網(wǎng)站程序在編寫時，沒有對用戶輸入的合法性進行判斷或者程序中本身的變量處理不當，使應用程序存在安全隱患。這樣，用戶就可以提交一段數(shù)據(jù)庫查詢的代碼，根據(jù)程序返回的結果，獲得一些敏感的信息或者控制整個服務器，于是sql注入就發(fā)生了。

c是來自軟件開發(fā)方面的問題